Welche Referrer-Policy ist besser: same-origin oder strict-origin-when-cross-origin?

Question

Welche Referrer-Policy ist besser: same-origin oder strict-origin-when-cross-origin?

Antwort

Verwandte Fragen

Sicheres Newsletter-Script in PHP?

Welche Optionen hat SameSite?

Eingangscode für HTML-Seite?

Accepted Answer

Die Direktive `add_header Referrer-Policy ... always;` in der Nginx-Konfiguration legt fest, wie der Referrer-Header beim Laden von Ressourcen an andere Seiten gesendet wird. Beide von dir genannten Optionen sind gängige Einstellungen, unterscheiden sich aber im Grad der Privatsphäre und Funktionalität: **1. `add_header Referrer-Policy "same-origin" always;`** - Der Referrer-Header wird **nur** gesendet, wenn die Ziel-URL die gleiche Origin (gleiche Domain, Protokoll und Port) hat. - Bei Anfragen zu anderen Origins wird **kein** Referrer-Header gesendet. - **Vorteil:** Maximale Privatsphäre für Nutzer, da keine Referrer-Informationen an externe Seiten weitergegeben werden. - **Nachteil:** Manche externe Dienste (z.B. Analytics, Payment) könnten auf Referrer-Informationen angewiesen sein. **2. `add_header Referrer-Policy "strict-origin-when-cross-origin" always;`** - Bei Anfragen zur gleichen Origin wird der vollständige Referrer-Header gesendet. - Bei Anfragen zu einer anderen Origin wird **nur die Origin** (z.B. `https://example.com/`) gesendet, nicht der vollständige Pfad. - Bei unsicheren (HTTP) zu sicheren (HTTPS) Anfragen wird **kein** Referrer gesendet. - **Vorteil:** Gute Balance zwischen Privatsphäre und Funktionalität. Externe Seiten sehen, von welcher Domain der Traffic kommt, aber nicht die genaue URL. - **Nachteil:** Etwas weniger Privatsphäre als bei `same-origin`, aber in der Praxis oft ausreichend. **Empfehlung:** - Wenn maximale Privatsphäre gewünscht ist und keine externen Dienste auf Referrer angewiesen sind: `add_header Referrer-Policy "same-origin" always;` - Für die meisten Websites ist `add_header Referrer-Policy "strict-origin-when-cross-origin" always;` die bessere Wahl, da sie einen guten Kompromiss zwischen Datenschutz und Funktionalität bietet. **Weitere Infos:** - [MDN Web Docs: Referrer-Policy](https://developer.mozilla.org/de/docs/Web/HTTP/Headers/Referrer-Policy) - [Nginx Dokumentation: add_header](https://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header)

Accepted Answer

Ein sicheres Newsletter-Script in PHP sollte mehrere Aspekte berücksichtigen, um die Sicherheit und Funktionalität zu gewährleisten. Hier ist ein einfaches Beispiel, das grundlegende Si... [mehr]

Accepted Answer

Ein sicheres Newsletter-Script in PHP sollte mehrere Aspekte berücksichtigen, um die Sicherheit und Funktionalität zu gewährleisten. Hier ist ein einfaches Beispiel, das grundlegende Sicherheitsmaßnahmen implementiert: ```php <?php // Datenbankverbindung $host = 'localhost'; $db = 'deine_datenbank'; $user = 'dein_benutzername'; $pass = 'dein_passwort'; try { $pdo = new PDO("mysql:host=$host;dbname=$db", $user, $pass); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); } catch (PDOException $e) { die("Verbindung fehlgeschlagen: " . $e->getMessage()); } // E-Mail-Adresse verarbeiten if ($_SERVER["REQUEST_METHOD"] == "POST") { $email = filter_var(trim($_POST["email"]), FILTER_SANITIZE_EMAIL); // E-Mail-Validierung if (!filter_var($email, FILTER_VALIDATE_EMAIL)) { die("Ungültige E-Mail-Adresse."); } // E-Mail in die Datenbank einfügen $stmt = $pdo->prepare("INSERT INTO newsletter (email) VALUES (:email)"); $stmt->bindParam(':email', $email); try { $stmt->execute(); echo "Danke für deine Anmeldung!"; } catch (PDOException $e) { die("Fehler beim Einfügen: " . $e->getMessage()); } } ?> <!DOCTYPE html> <html lang="de"> <head> <meta charset="UTF-8"> <title>Newsletter Anmeldung</title> </head> <body> <form action="" method="post"> <label for="email">E-Mail-Adresse:</label> <input type="email" name="email" required> <button type="submit">Anmelden</button> </form> </body> </html> ``` ### Sicherheitsmaßnahmen: 1. **E-Mail-Validierung**: Überprüfe, ob die eingegebene E-Mail-Adresse gültig ist. 2. **Prepared Statements**: Verhindert SQL-Injection, indem Parameter gebunden werden. 3. **Datenbankverbindung**: Nutze PDO für eine sichere Datenbankverbindung. 4. **Sanitization**: Bereinige die Eingaben, um schädliche Daten zu entfernen. ### Weitere Empfehlungen: - Implementiere ein Double-Opt-In-Verfahren, um sicherzustellen, dass die E-Mail-Adresse tatsächlich dem Benutzer gehört. - Schütze das Script vor CSRF-Angriffen, indem du ein Token für Formulare verwendest. - Stelle sicher, dass die Datenbankverbindung und die Datenbank selbst sicher konfiguriert sind. Diese Vorlage bietet einen grundlegenden Rahmen, den du an deine spezifischen Anforderungen anpassen kannst.

Accepted Answer

Die `SameSite`-Attributoptionen für Cookies sind: 1. **Strict**: Cookies werden nur gesendet, wenn die Anfrage von der gleichen Site stammt. Dies bedeutet, dass Cookies nicht bei Cross-Site-Anfr... [mehr]

Accepted Answer

Die `SameSite`-Attributoptionen für Cookies sind: 1. **Strict**: Cookies werden nur gesendet, wenn die Anfrage von der gleichen Site stammt. Dies bedeutet, dass Cookies nicht bei Cross-Site-Anfragen gesendet werden, was das Risiko von CSRF-Angriffen verringert. 2. **Lax**: Cookies werden bei Navigationsanfragen (z. B. beim Klicken auf einen Link) gesendet, jedoch nicht bei anderen Arten von Cross-Site-Anfragen (z. B. bei AJAX-Anfragen). Dies bietet einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit. 3. **None**: Cookies werden bei allen Anfragen gesendet, unabhängig von der Herkunft. Wenn `None` verwendet wird, muss das Cookie auch als `Secure` markiert sein, was bedeutet, dass es nur über HTTPS-Verbindungen gesendet wird. Diese Optionen helfen, die Sicherheit von Cookies zu erhöhen und das Risiko von Angriffen zu minimieren.

Accepted Answer

Um einen einfachen Eingangscode für eine HTML-Seite zu erstellen, kannst du ein Formular verwenden, das einen Benutzernamen und ein Passwort abfragt. Hier ist ein Beispiel: ```html <!DOCTYPE... [mehr]

Accepted Answer

Um einen einfachen Eingangscode für eine HTML-Seite zu erstellen, kannst du ein Formular verwenden, das einen Benutzernamen und ein Passwort abfragt. Hier ist ein Beispiel: ```html <!DOCTYPE html> <html lang="de"> <head> <meta charset="UTF-8"> <meta name="" content="width=device-width, initial-scale=1.0"> <title>Eingangscode</title> </head> <body> <h2>Bitte anmelden</h2> <form action="deine_zielseite.html" method="post"> <label for="username">Benutzername:</label><br> <input type="text" id="username" name="username" required><br><br> <label for="password">Passwort:</label><br> <input type="password" id="password" name="password" required><br><br> <input type="submit" value="Einloggen"> </form> </body> </html> ``` In diesem Beispiel wird ein einfaches Anmeldeformular erstellt. Du kannst die `action`-Eigenschaft des Formulars anpassen, um die Daten an die gewünschte Zielseite zu senden. Beachte, dass dies nur eine grundlegende HTML-Struktur ist und keine Sicherheitsmaßnahmen wie die Validierung von Benutzerdaten oder die Verschlüsselung von Passwörtern enthält.