HTTP Security Header Scanner

Security headers spelen een belangrijke rol in de bescherming van webgebruikers tegen browsergebaseerde aanvallen. Correct ingestelde headers helpen bij het voorkomen van onder andere:

• Cross-Site Scripting (XSS)
• Clickjacking
• MIME-type sniffing
• Onveilige embed van externe content
• Cross-Origin datalekken

Deze headers instrueren de browser om je website veilig te verwerken. Zonder hen zijn zelfs goed gebouwde applicaties kwetsbaar voor misbruik van standaardgedrag van browsers.

De volgende headers worden algemeen beschouwd als essentieel voor sterke browsergebaseerde beveiliging:

• Content-Security-Policy (CSP): Voorkomt het uitvoeren van ongeautoriseerde scripts
• Strict-Transport-Security (HSTS): Forceert gebruik van HTTPS
• X-Frame-Options: Voorkomt clickjacking via iframes
• X-Content-Type-Options: Voorkomt MIME sniffing
• Referrer-Policy: Beperkt de hoeveelheid referrer-informatie die wordt doorgestuurd
• Permissions-Policy: Reguleert toegang tot browserfeatures zoals camera en microfoon
• Cross-Origin headers (COOP, CORP, COEP): Versterken isolatie en beperken datalekken tussen origins

Correct gebruik van deze headers verkleint je aanvalsoppervlak aanzienlijk.

De scanner toont per header of deze ontbreekt, zwak is ingesteld of correct geconfigureerd is.

Bij foutieve configuraties wordt onder de sectie 'Recommendations' precies uitgelegd wat er mis is — zoals onveilige waarden, verouderde instellingen of ontbrekende opties. Volg deze stappen:

1. Lees per header de status en aanbeveling
2. Pas je server- of applicatieconfiguratie aan
3. Herhaal de scan om te controleren of het probleem is opgelost

Zo weet je zeker dat je wijzigingen effect hebben en blijf je je security posture verbeteren.

De scanner geeft je een security score van 0 tot 100, gebaseerd op de aanwezigheid en kwaliteit van je HTTP security headers.

• Een score van 100 betekent dat alle belangrijke headers correct en veilig zijn ingesteld
• Een score van 0 betekent dat er geen relevante headers aanwezig zijn
• Tussenliggende scores wijzen op gedeeltelijke configuratie of zwakke instellingen

Sommige headers, zoals Content-Security-Policy en HSTS, wegen zwaarder mee. Headers met onveilige waarden (zoals 'unsafe-inline' in CSP) verlagen de score ook. Deze score geeft je een duidelijk beeld van je browserkant-beveiliging.

De kleuren in de resultaten geven in één oogopslag aan wat de status van elke header is:

• Rood: De header ontbreekt volledig en biedt geen bescherming
• Geel: De header is aanwezig, maar verkeerd of onvoldoende veilig geconfigureerd
• Donkerblauw: De header is aanwezig en correct ingesteld volgens best practices

Deze visuele weergave helpt je prioriteiten stellen: wat moet worden verbeterd, wat is een risico, en wat is al veilig.

Ja. Als je een bug ontdekt, een feature wilt aanvragen of gewoon feedback hebt, kun je ons bereiken via: feedback@websec.nl