Security headers in .htaccess uitschakelen voor een map

Probleem:
Voor mijn website heb ik in het verleden een aantal security headers toegevoegd om hem veiliger te maken. Ik maak gebruik van WordPress dus dan is het nogal lastig om bijvoorbeeld de Content-Security-Policy zo strict mogelijk te zetten. Beter iets dan niets.

Deze zijn specifiek voor www.timdehoog.nl. Maar ik wil ook nog wel eens een nieuwe website ontwikkelen voor iemand anders of om nieuwe dingen uit te proberen. Voor het gemak maak ik dan op mijn hosting omgeving een map (subdirectory) aan en plaats daar de bestanden in. Een betere oplossing zou een nieuwe omgeving zijn wat tijd kost.

Het nadeel is dat de security headers in het .htaccess bestand problemen veroorzaken voor alle andere websites op dezelfde hosting omgeving. Aan de ene kant fijn, maar aan de andere kant zorgt dit ervoor dat de nieuwe website mogelijk niet juist functioneert. Dit kan komen doordat een plugin bestanden van een externe bron download wat niet mag.

Oplossing:
De beste oplossing is natuurlijk om voor die nieuwe website de juiste security headers toe te voegen. Maar als je net begonnen bent met het opzetten van een website zijn security headers niet het eerste waar je aan denkt.

De makkelijkste oplossing is om ze tijdelijk uit te schakelen voor de map waar de bestanden van de nieuwe website in zitten. Op een later moment kan je de juiste instellen.

Voeg onderstaande blok code toe aan het .htaccess bestand om de security headers uit te schakelen. Je overschrijf de headers die ingesteld zijn door een website op hoofdniveau.

    # Disable security headers
    Header unset Content-Security-Policy
    Header unset X-Frame-Options
    Header unset X-XSS-Protection
    Header unset X-Content-Type-Options
    Header unset Referrer-Policy
    Header unset Feature-Policy
    Header unset Strict-Transport-Security

Overigens is het helemaal geen slecht idee om dit pas later in te stellen. In het begin weet je nog niet wat je in wilt stellen voor de Content-Security-Policy, Strict-Transport-Security, X-Frame-Options of Feature-Policy.

Security headers testen:
Dit kan je het beste doen door de console tab van web developer toolbar te openen en jouw website te bezoeken. Daarnaast kan je het ook laten controleren via https://securityheaders.com/.

Laat een reactie achter

Your email address will not be published. Required fields are marked *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.