HTTP-beveiligingsinstellingen

Enkel secure cookies

Als de server alleen HTTPS-verbindingen accepteert, wordt aanbevolen om het verzenden van beveiligde cookies in te schakelen. Indien ingeschakeld, zorg er dan voor dat de webserver http://, niet accepteert of stel een permanente verwijzing in naar https:// adres. Wanneer wwwroot-adres niet begint met https://, wordt deze instelling automatisch uitgeschakeld.

-

Enkel http cookies

Schakelt de PHP 5.2.0-functie in. Browsers krijgen de opdracht om cookies alleen te verzenden met echte http-verzoeken. Cookies mogen niet toegankelijk zijn via scripttalen. Dit wordt niet in alle browsers ondersteund en is mogelijk niet volledig compatibel met de huidige code. Dit helpt om sommige types XSS-aanvallen te voorkomen.

-

Strikte transportbeveiliging

Indien ingeschakeld, krijgen browsers de instructie om altijd het https://-protocol te gebruiken bij het openen van de server, en gebruikers kunnen SSL-onderhandelingswaarschuwingen niet negeren.

Let op dat indien ingeschakeld, browsers deze instelling zes maanden lang onthouden en toegang via http:// verhinderen, zelfs als deze instelling later is uitgeschakeld.

Veilige verwijzers

Indien ingeschakeld, krijgen browsers de instructie om altijd het https://-protocol te gebruiken bij het openen van de server, en gebruikers kunnen SSL-onderhandelingswaarschuwingen niet negeren.

Let op dat indien ingeschakeld, browsers deze instelling zes maanden lang onthouden en toegang via http://, verhinderen, zelfs als deze instelling later is uitgeschakeld. Strikte transportbeveiliging.

Frame-embedding toestaan

Insluiten van deze site in frames toestaan op externe sites. Het inschakelen van deze functie wordt om veiligheidsredenen afgeraden.

-

Toegestane cross-domein

Insluiten van deze site in frames toestaan op externe sites. Het inschakelen van deze functie wordt om veiligheidsredenen afgeraden.

De beschikbare opties zijn:

• Standaard: Betekent dat er geen regels worden afgedwongen via de site-instellingen en dat de webclient alleen standaardinstellingen gebruikt die buiten de site geconfigureerd kunnen worden.
• Geen: Browsers krijgen instructies om te voorkomen dat inhoud van deze server in externe Flash- of PDF-bestanden ingebed wordt.
• Alleen-master: De gebruiksvoorwaarde kan worden gedefinieerd in het bestand crossdomain.xml.

-

Wachtwoord aanvullen uitschakelen op loginformulier

Indien ingesteld op geen enkele browser, worden browsers geïnstrueerd om te voorkomen dat inhoud van deze server in externe Flash- of PDF-bestanden wordt ingebed. Indien ingesteld op master-only kunnen de regels worden gedefinieerd in het bestand main crossdomain.xml.

-

cURL lijst voor geblokkeerde hosts

Zet elk onderdeel op een nieuwe regel. Geldige onderdelen zijn ofwel:

• Volledige IPv4- of IPv6-adressen (zoals 192.168.10.1, 0:0:0:0:0:0:0:1, ::1, fe80::) die overeenkomen met één enkele host
• CIDR-notatie (zoals 231.54.211.0/20 of fe80::/64)
• Een reeks IP-adressen (zoals 231.3.56.10-20 of fe80::1111-bbbb) waar het bereik van toepassing is op de laatste groep van het adres
• Domeinnamen (zoals localhost of example.com)
• Jokerdomeinnamen (zoals *.example.com of *.sub.example.com)

Lege regels zijn niet toegestaan.

-

cURL toegestane poortenlijst

Lijst met poortnummers waarnaar cURL kan verbinden. Enkel natuurlijke getallen zijn zijn geldig. Zet elk onderdeel op een nieuwe regel. Indien je dit leeg laat, zijn alle getallen toegestaan. Indien ingesteld moeten in nagenoeg alle gevallen zowel 443 als 80 opgegeven worden als standaard poorten voor HTTPS en HTTP.

-