Dokumentation

Säkerhetsrubriker förklarade

Vad är säkerhetsheaders (Security Headers)?

HTTP-säkerhetsheaders är svarshuvuden som din webbserver skickar till webbläsare för att begränsa vad webbläsaren får göra med din webbsida. De är ett enkelt men mycket effektivt skydd mot vanliga attacker som cross-site scripting (XSS), clickjacking och nedgradering av protokoll (protocol downgrade attacks).

De kräver inga ändringar i din applikationskod — endast en mindre konfigurationsändring i servern.

Vad du bör göra

Headers som kontrolleras av ExposureIndex

Strict-Transport-Security (HSTS)

Talar om för webbläsare att alltid använda HTTPS för din domän — även om användaren skriver http://.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

  • max-age — Hur länge (i sekunder) webbläsaren ska tvinga HTTPS. Ett år (31536000) är rekommenderat minimum.
  • includeSubDomains — Gäller även för alla subdomäner.
  • preload — Valfri: gör det möjligt att inkludera domänen i webbläsares preload-lista så att HTTPS används redan vid första besöket.

Content-Security-Policy (CSP)

Begränsar vilka resurser (script, styles, bilder, typsnitt) en sida får ladda och från vilka källor. En strikt CSP är det mest effektiva skyddet i webbläsaren mot XSS.

Ett enkelt startexempel:

Content-Security-Policy: default-src ‘self’; img-src ‘self’ data:; font-src ‘self’; script-src ‘self’; style-src ‘self’

CSP är komplext och behöver anpassas efter din applikation. Börja med Content-Security-Policy-Report-Only för att observera brott utan att blockera, och aktivera sedan fullt skydd när du är säker.

Om du använder externa scripts eller CSS (t.ex. Bootstrap via CDN) måste dessa källor inkluderas i din CSP — annars blockeras de.
Ett alternativ är att hosta dessa filer lokalt på din egen server.

X-Content-Type-Options

Förhindrar att webbläsare gissar ("sniffar") innehållstypen på ett svar, vilket annars kan leda till XSS via uppladdade filer.

X-Content-Type-Options: nosniff

Ska alltid användas — det har inga nackdelar.

X-Frame-Options

Förhindrar att din sida bäddas in i en <iframe> på andra webbplatser — grunden för clickjacking-attacker.

X-Frame-Options: DENY

Eller, om din egen webbplats behöver bädda in sidor:

X-Frame-Options: SAMEORIGIN

Referrer-Policy

Styr hur mycket referensinformation (referrer) webbläsaren skickar när en användare klickar vidare från din webbplats.

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy

Begränsar åtkomst till webbläsarfunktioner som kamera, mikrofon, geolokalisering och betalnings-API:er.

Permissions-Policy: camera=(), microphone=(), geolocation=()

Lägga till headers i vanliga webbservrar

Senast uppdaterad: March 28, 2026