HTTP-Security-Header - Entwicklungsportal und Docusaurus-Instanzen
Warum?
Um die IT-Sicherheit von Entwicklungsportal und Docusaurus-Instanzen zu verbessern, sollten einige HTTP-Header gesetzt werden.
Relevante Links und Bemerkungen
- Hintergrundinfos
- Scan-Results Entwicklungsportal:
https://observatory.mozilla.org/analyze/docs.fitko.dehttps://developer.mozilla.org/en-US/observatory/analyze?host=docs.fitko.de
CSP: Es soll der folgende Header gesetzt werden:
Content-Security-Policy: default-src 'none'; frame-ancestors 'none'; upgrade-insecure-requests
Content-Security-Policy: default-src 'self'; form-action: 'self'; frame-ancestors 'none'; upgrade-insecure-requests
Akzeptanzkriterien
-
CSP-Header ist im Entwicklungsportal gesetzt -
CSP-Header ist in allen Docusaurus-Instanzen gesetzt (siehe Liste der Instanzen unter https://git.fitko.de/fit-connect/docusaurus-template/-/wikis/home) -
Referrer-Policy-Header ist im Entwicklungsportal gesetzt -
Referrer-Policy-Header ist in allen Docusaurus-Instanzen gesetzt (siehe Liste der Instanzen unter https://git.fitko.de/fit-connect/docusaurus-template/-/wikis/home) -
Falls Cookies genutzt werden: SameSite-Direktive ist im Entwicklungsportal gesetzt -
Falls Cookies genutzt werden: SameSite-Direktive ist in allen Docusaurus-Instanzen gesetzt (siehe Liste der Instanzen unter https://git.fitko.de/fit-connect/docusaurus-template/-/wikis/home) -
HTTP Header „Strict-Transport-Security“ (HSTS) ist im Entwicklungsportal gesetzt -
HTTP Header „Strict-Transport-Security“ (HSTS) ist in allen Docusaurus-Instanzen gesetzt (siehe Liste der Instanzen unter https://git.fitko.de/fit-connect/docusaurus-template/-/wikis/home) -
Das Entwicklungsportal wurde mit Test-Tools (-> Mozilla Observatory) getestet. -
Die Docusaurus-Instanzen wurden mit Test-Tools (-> Mozilla Observatory) getestet.
Durchführungsplan
-
... -
... -
...
Edited by Marco Holz