Perkuat website dengan menggunakan Security Header

HTTP Header, merupakan suatu parameter yang memuat informasi maupun konfigurasi dari sebuah website, contohnya seperti informasi engine webserver yang digunakan, settingan cache, cookie, dll. oleh karena itu maka kita Perkuat website dengan menggunakan Security Header yang ada.

Security Header merupakan bagian dari HTTP Header yang berfokus pada informasi maupun konfigurasi yang dimuat pada suatu website. Mengaplikasikan security header dapat membantu mengurangi resiko penyerangan pada website.

Berikut beberapa rekomendasi security header yang High3 sarankan:

X-Frame-Options

Mengatur browser untuk merender halaman dalam wadah  <frame><iframe><embed> or <object>. Penggunaan HTTP Header ini dapat mencegah serangan clickjacking, karena dapat membuat konten website tidak dapat dirender di website lain.

Ada 3 opsi untuk mengaktifkan HTTP Header ini, yaitu :

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

Parameter deny akan membuat browser untuk tidak merender konten website dalam sebuah frame baik pada website sendiri maupun dari website lain.

Parameter sameorigin akan memperbolehkan browser untuk merender konten website dalam sebuah frame hanya dalam website dengan origin yang sama, contohnya kita dapat merender frame konten web abc.com/user pada suatu halaman yang bernama abc.com/leaderboard.

Paremeter allow-from akan memperbolehkan browser untuk merender konten website dalam sebuah frame yang berasal dari website spesifik.


X-XSS-Protection

Header ini bertujuan untuk melindungi website dari serangan XSS. Header ini akan memfilter input yang dianggap sebagai serangan XSS. ada 4 parameter untuk menggunakan header ini, yaitu:

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

parameter 0 yaitu menonaktifkan XSS filtering.

parameter 1 mengaktifkan XSS filtering dan akan mensanitasi script yang berbahaya.

parameter 1 dengan mode block mengaktifkan XSS filtering dan akan memblock url yang diakses jika terdapat input XSS.

parameter 1 dengan mode report mengaktifkan XSS filtering , mensanitasi script berbahaya lalu mengirimkan report ke url tujuan.


X-Content-Type-Options

Sederhananya, jika the Content-Type header blank atau tidak ada, browser akan melakukan ‘sniffs’ pada content dan mecoba untuk menyajikan konten tersebut sebaik mungkin. Hal ini berbahaya karena browser dapat menjalakan suatu perintah dari konten yang di inputkan hacker.

Header ini dapat di set dengan opsi berikut :

X-Content-Type-Options: nosniff

parameter nosniff akan mencegah browser menjalakan konten yang tidak dikenal.


Content Security Policy (CSP)

Header ini memungkinkan web admin memegang kendali terhadap konten yang dapat di load oleh suatu halaman. Header ini sendiri dapat menggantikan header xframe dan xss protection jika di set dengan benar. Header ini dapat melindungi halaman dari serangan seperti XSS, Clickjacking, Protocol Downgrading dan Frame Injection. Parameter csp sederhana yang biasa digunakan yaitu seperti ini:

Content-Security-Policy: default-src 'self' <nama url>

yang artinya konten(img,xml,js,dll) akan diload jika memang berasal dari url yang telah diset. Ada banyak parameter tambahan yang dapat kita set pada CSP, untuk melihat parameternya dapat dilihat disini.


HTTP Strict Transport Security (HSTS)

Header ini memastikan bahwa koneksi yang terjadi antara client dengan server menggunakan koneksi yang secure seperti https. Jika client merequest http maka tidak akan di lanjutkan alias di blok. Penggunaan headernya seperti ini:

Strict-Transport-Security: max-age=31536000;

Header – header di atas merupakan header yang dapat membantu memperkuat keamanan website anda.

Referensi :

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top