<SecurityHTTPHeaders>

Das Element SecurityHTTPHeaders erzeugt einen HTTP-Security-Header in der Web App.

Element

Beschreibung

Mögliche Werte

SecurityHTTPHeaders

Der HTTP-Security-Header ist ein HTTP-Antwort-Header. Der HTTP-Security-Header wird verwendet, um die Web App vor unerwünschten Angriffen zu schützen.

Das Element enthält folgende Elemente:

strictTransportSecurity
XFrameOptions

strictTransportSecurity

Der HTTP-Strict-Transport-Security-Antwort-Header informiert die Browser darüber, dass der Zugriff auf die Website nur über HTTPS erfolgen sollte und dass alle zukünftigen Zugriffsversuche über HTTP automatisch in HTTPS umgewandelt werden sollten.

XFrameOptions

Die X-Frame-Options im HTTP-Antwort-Header kann verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe>, <embed> oder <object> einbetten darf.

DENY: Die Zielseite darf nicht eingebettet werden.
SAMEORIGIN: Die Zielseite darf eingebettet werden.

strictTransportSecurity

Attribut	Beschreibung	Mögliche Werte
`enabled`	Legt den Status des HTTP-Strict-Transport-Security-Antwort-Headers fest.	`true`: Der Strict-Transport-Security-Antwort-Header ist aktiviert. `false`: Strict-Transport-Security-Antwort-Header ist deaktiviert.
`includeSubDomains`	Legt fest, ob die Einstellungen zum HTTP-Strict-Transport-Security-Antwort-Header auch für die Subdomänen der Web App gelten.	`true`: Die Einstellungen gelten auch für die Subdomänen. `false`: Die Einstellungen gelten nicht für die Subdomänen.
`maxAge`	Die Zeit in Sekunden, in der sich der Browser merken soll, dass auf die Web App nur über HTTPS zugegriffen werden darf.	Beliebige Ganzzahl
`preLoad`	Legt fest, ob der HTTP-Strict-Transport-Security-Antwort-Header vorgeladen wird.	`true`: Der HTTP-Strict-Transport-Security-Antwort-Header wird vorgeladen `false`: Der HTTP-Strict-Transport-Security-Antwort-Header wird nicht vorgeladen.