HTTP-Header X-Frame-Options und X-XSS-Protection - Zustelldienst

Warum?

Für APIs bietet die Verwendung der genannten HTTP-Header an sich zwar keinen großen Mehrwert, das Setzen des maximal eingeschränkten Headers sorgt jedoch für bessere Scrores in Analysetools und eine vorbildliche Konfiguration vereinfacht die Durchführung von Pentests.

Es sollen also die folgenden Header gesetzt werden:

X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

Relevante Links und Bemerkungen

Scan der Testumgebung: https://observatory.mozilla.org/analyze/submission-api-testing.fit-connect.fitko.dev
Scan der Refz-Umgebung: https://observatory.mozilla.org/analyze/submission-api-refz.fit-connect.niedersachsen.de (bereits korrekt implementiert)

Akzeptanzkriterien

Header ist in der Devumgebung gesetzt
Header ist in der Testumgebung gesetzt
Header ist in der Referenzumgebung gesetzt
Header ist in der Produktivumgebung gesetzt
Die Einhaltung der Konfig wird für alle Umgebungen via Firewall-Tests (siehe Infra-Repo) getestet.

Durchführungsplan

Edited Jun 10, 2022 by Siamak Mehraghdam

Admin message

HTTP-Header X-Frame-Options und X-XSS-Protection - Zustelldienst

Warum?

Relevante Links und Bemerkungen

Akzeptanzkriterien

Durchführungsplan