<blog_post>

Wat zijn security headers en hoe stel je ze goed in?

Security headers zijn een extra beveiligingslaag in de HTTP-response van je website. Ze beschermen tegen veelvoorkomende aanvallen zoals XSS, clickjacking of datalekken. In deze blog leggen we uit welke headers belangrijk zijn en hoe je ze instelt.

Alan
Alan
  • 4 min read

Wat doen security headers precies?

Elke keer dat een browser een pagina opvraagt, stuurt de server naast de HTML ook extra informatie mee: de HTTP-headers. Hierin kun je instructies meegeven aan de browser over hoe die met jouw website moet omgaan.

Security headers geven bijvoorbeeld aan of scripts van andere domeinen mogen draaien, of je site mag worden ingesloten in een iframe, of hoe om te gaan met content die mogelijk gevaarlijk is.

Belangrijke security headers

  • Content-Security-Policy (CSP) Bepaalt welke bronnen (scripts, stylesheets, afbeeldingen) geladen mogen worden. Beschermt tegen XSS-aanvallen.
  • Strict-Transport-Security (HSTS) Dwingt HTTPS af bij volgende bezoeken. Voorkomt downgrade-aanvallen.
  • X-Content-Type-Options Zorgt dat de browser zich houdt aan het opgegeven content-type. Voorkomt MIME-sniffing.
  • X-Frame-Options Voorkomt dat je site wordt weergegeven in een iframe. Beschermt tegen clickjacking.
  • Referrer-Policy Beperkt welke referrer-informatie wordt meegestuurd naar andere sites.
  • Permissions-Policy (voorheen Feature-Policy) Bepaalt welke browser-API’s (zoals camera of geolocatie) toegankelijk zijn op jouw site.

Hoe stel je ze in?

Je kunt security headers instellen via je webserver (bijv. Nginx, Apache) of via je hostingplatform of CDN (zoals Netlify, Vercel, Cloudflare).

Voorbeeld in Nginx:

add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "DENY";
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Test altijd of je headers goed staan met tools zoals:

  • securityheaders.com
  • observatory.mozilla.org

Veelgemaakte fouten

  • Headers ontbreken helemaal
  • CSP te streng of juist te los ingesteld
  • Conflicten met externe scripts (zoals analytics of video embeds)

Wat levert het op?

Goede security headers voorkomen kwetsbaarheden nog vóórdat er een aanval plaatsvindt. Ze zorgen voor een proactieve, stabiele basis die je combineert met andere lagen zoals HTTPS, input-validatie en monitoring.

Wil je weten hoe veilig jouw headers staan? Of advies over een goede baseline-configuratie? We kijken graag met je mee .

<project.start>

Aan de slag met jouw project.

Neem contact op