.FILE 2G 3G 4G 5G
Till startsidan BETA

Test för moderna internetstandarder

Vad är säkerhetsheaders?

Säkerhetsheaders (security headers) är korta tekniska "regler" som följer med varje webbsvar och minskar risken för vanliga attacker, dataläckor och missbruk. Rätt konfigurerade gör de webben tryggare för både webbplatsägare och besökare.

Säkerheten på en webbplats handlar inte bara om starka lösenord och kryptering. En stor del av skyddet sker också i bakgrunden – genom hur webbservern instruerar webbläsaren att hantera innehåll.

Fler testverktyg från Internetstiftelsen

Säkerhetsheaders är ett effektivt sätt att höja säkerheten på webben utan att behöva bygga om hela system. De fungerar som instruktioner till webbläsaren och kan stoppa eller begränsa flera vanliga attacker, som XSS och clickjacking.

Vad är en security header?

En header är en del av kommunikationen mellan webbläsare och webbserver. När servern skickar en webbsida skickar den inte bara HTML och bilder, utan också metadata – instruktioner om hur webbläsaren ska behandla svaret.

Blå och gula sladdar.

Säkerhetsheaders är headers som specifikt syftar till att stärka säkerheten. Det handlar ofta om förebyggande skydd som gör det svårare att utnyttja sårbarheter. Säkerhetsheaders kan till exempel:

  • minska risken för att kod körs på fel sätt
  • stoppa webbläsaren från att göra osäkra antaganden
  • skydda användaren från att luras av falska sidor eller innehåll.

Många attacker mot webbtjänster sker i användarens webbläsare, inte i själva servern. Ett klassiskt exempel är XSS (Cross Site Scripting), där en angripare lyckas få in skadlig kod på en webbsida.

Säkerhetsheaders kan fungera som ett extra skyddslager: även om en sårbarhet finns, kan webbläsaren hindras från att bete sig på ett farligt sätt. Det innebär att effekten av ett misstag blir mindre – vilket kan vara avgörande.

Exempel på viktiga säkerhetsheaders

Det finns flera olika headers som ofta rekommenderas på en webbplats. Här är några av de vanligaste:

Content-Security-Policy (CSP)

Denna header begränsar vilka källor som får leverera skript, bilder och andra resurser. CSP kan stoppa många typer av XSS-attacker genom att inte tillåta att kod laddas från okända platser.

Strict-Transport-Security (HSTS)

Talar om för webbläsaren att alltid använda HTTPS för en webbplats. Det minskar risken att besökare råkar ansluta okrypterat eller blir utsatta för nedgraderingsattacker.

X-Frame-Options

Skyddar mot clickjacking, där en angripare försöker lura användaren att klicka på något dolt genom att bädda in en sida i en osynlig ram.

X-Content-Type-Options

Förhindrar att webbläsaren "gissar" filtyper på ett osäkert sätt, vilket minskar risken att innehåll tolkas som körbar kod.

Referrer-Policy

Styr hur mycket information som skickas vidare när en användare klickar på länkar – det minskar risken för att känsliga uppgifter läcker i URL:er.

Vanliga misstag och utmaningar

Säkerhetsheaders är ofta relativt enkla att lägga till på en webbplats, men de kräver att man gör rätt. Ett vanligt problem är att man sätter en header med för svaga inställningar, vilket ger falsk trygghet. Rekommendationerna kring säkerhetsheaders kan också ändras med tiden.

Vissa headers kan också kräva testning för att inte råka blockera legitim funktionalitet på webbplatsen. Detta gäller särskilt Content Security Policy. Därför kan det vara klokt att införa förändringar stegvis och följa upp effekten.

Vidare läsning

Bygger på
Internet.nl är ett initiativ från Internetsamfundet och den Holländska regeringen.
Programversion
v202603.02
API-version
v0.9.6
Internet.nl
v1.0.4