Vad är HTTP-säkerhetshuvuden?

Question

Accepted Answer

**HTTP-säkerhetshuvuden** är svarshuvuden som instruerar webbläsare att tillämpa säkerhetsskydd — vilket hjälper till att försvara mot attacker som XSS, clickjacking och protokollnedgradering. De är ett enkelt, värdefullt försvarslager för webbapplikationer.

## Viktiga säkerhetshuvuden

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Exempel

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Varför de spelar roll (försvar i djupet)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Varför det spelar roll

Att förstå HTTP-säkerhetshuvuden är värdefullt eftersom de ger **ett enkelt, effektivt försvarslager för webbapplikationer**, så det är användbar praktisk säkerhetskunskap.

Säkerhetshuvuden instruerar webbläsare att tillämpa skydd mot vanliga attacker, och det är värdefullt att förstå de viktigaste. **Content-Security-Policy (CSP)** är den kraftigaste — den kontrollerar vilka resurser och skript som kan läsas in och köras, vilket ger ett starkt försvar mot XSS (och kan även minska det när utdataeskaping missas). **Strict-Transport-Security (HSTS)** tvingar HTTPS, vilket förhindrar nedgradering och SSL-stripping-attacker. **X-Frame-Options** (eller CSP frame-ancestors) förhindrar **clickjacking** genom att blockera sidan från att bäddas in i iframes. **X-Content-Type-Options: nosniff**, Referrer-Policy och Permissions-Policy ger ytterligare skydd.

Att förstå dessa huvuden och vad de skyddar mot är den praktiska kunskapen.

Att förstå **varför de spelar roll** är det viktiga värdet: de är **enkla att lägga till** (konfigurerade på servern/proxyn) men ger betydande skydd för lite ansträngning, och de implementerar **försvar i djupet** (extra lager — t.ex. CSP som minskar XSS även om ett kodningsmisstag tillåter det).

Att förstå den viktiga förbehållet att **huvuden inte är en ersättning för säker kodning** (du måste fortfarande åtgärda rotorsakerna; CSP kräver försiktig konfiguration) återspeglar balanserad förståelse — huvuden kompletterar, inte ersätter, säker utveckling.

Säkerhetshuvuden är en värdeful, låginsatssförbättring som många webbplatser underutnyttjar, och verktyg/scanners kontrollerar ofta för dem.

Eftersom säkerhetshuvuden ger enkelt, effektivt försvar i djupet för webbapplikationer (som skyddar mot XSS, clickjacking, nedgraderingsattacker) för lite ansträngning, och eftersom det är användbart att förstå de viktigaste huvu­den och deras värde för att förbättra webbappsäkerhet, är att förstå HTTP-säkerhetshuvuden värdeful, praktiskt relevant säkerhetskunskap — ett låginsats-, högt värde-försvarslager för webben (särskilt CSP för XSS och X-Frame-Options för clickjacking) som kompletterar säker kodning, användbar kunskap för att härda webbapplikationer.