← Terug naar scanner

HTTP Security-headers: wat zijn ze en waarom zijn ze belangrijk?

HTTP Security-headers zijn responsheaders die de webserver meestuurt bij iedere pagina. Ze instrueren de browser over het beveiligingsbeleid van de website: welke scripts mogen worden uitgevoerd, of de pagina in een iframe mag worden geladen, en of de verbinding altijd via HTTPS moet verlopen. Ze zijn geen directe AVG-verplichting, maar gelden als onderdeel van 'passende technische maatregelen' (art. 32 AVG).

Content-Security-Policy (CSP)

CSP bepaalt welke bronnen (scripts, stijlen, afbeeldingen) de browser mag laden. Een goede CSP beschermt tegen Cross-Site Scripting (XSS), waarbij kwaadaardige scripts worden ingespoten in jouw pagina. CSP is een van de krachtigste, maar ook complexste headers om te configureren.

X-Frame-Options

Deze header voorkomt dat jouw website in een iframe van een andere site wordt geladen. Dit beschermt bezoekers tegen clickjacking-aanvallen, waarbij een aanvaller jouw pagina onzichtbaar over een eigen pagina legt om klikken te 'stelen'. Stel in op DENY of SAMEORIGIN.

X-Content-Type-Options

Met de waarde nosniff voorkom je dat de browser bestanden raadt van een ander inhoudstype dan opgegeven (MIME-sniffing). Dit verkleint het risico dat een kwaadaardig bestand als uitvoerbare code wordt behandeld.

Strict-Transport-Security (HSTS)

HSTS dwingt de browser om de website altijd via HTTPS te laden, ook als een gebruiker http:// typt of op een onbeveiligde link klikt. De browser onthoudt dit via de max-age instelling (aanbevolen: minimaal 1 jaar = 31536000 seconden).

Referrer-Policy

Bepaalt welke informatie de browser meestuurt als een bezoeker doorklikt naar een andere website. Met de instelling strict-origin-when-cross-origin voorkom je dat volledige URL's met querystrings (die soms persoonsgegevens bevatten) worden doorgegeven aan derde partijen.

Permissions-Policy

Voorheen Feature-Policy. Hiermee begrens je toegang tot browserfuncties zoals de camera, microfoon en geolocatie. Nuttig om te voorkomen dat scripts (ook van derde partijen) ongeautoriseerd toegang krijgen tot gevoelige apparaatfuncties.

Hoe stel je headers in?

Bij Vercel en Netlify configureer je headers via een configuratiebestand (vercel.json of _headers). Bij Apache doe je dit via .htaccess, bij Nginx in het serverblok. WordPress-gebruikers kunnen een plugin zoals HTTP Headers gebruiken.

Wil je weten hoe jouw website scoort? Doe de gratis scan →

Geen juridisch advies

Deze tool signaleert mogelijke aandachtspunten op basis van een automatische scan. De resultaten zijn indicatief en vereisen extra controle door een professional. privacyscore.nl geeft geen juridisch advies en kan niet aansprakelijk worden gesteld voor beslissingen die op basis van deze scan worden genomen.

HTTP Security-headers: wat zijn ze en waarom zijn ze belangrijk? | Privacyscore.nl