Menjamin adanya keamanan adalah hal yang penting bagi tiap service dan website. Untuk itu membangun dan memperkuat keamanan suatu website menjadi hal yang mesti dilakukan. Akan tetapi, pasti beberapa dari kita berpikir bahwa untuk menjaga keamanan website, kita perlu membeli software atau sistem keamanan yang rentang biayanya cukup tinggi. Padahal, terdapat langkah awal tetapi pasti, untuk menjaga keamanan website kita. Salah satunya dengan patching HTTP Security Header! Oke, agar lebih paham, yuk kita simak bersama!
Apa Itu HTTP Security Header?
Header keamanan HTTP adalah subset dari header HTTP dan dipertukarkan antara klien web (biasanya browser) dan server untuk menentukan detail komunikasi HTTP yang terkait dengan keamanan. Beberapa header HTTP yang secara tidak langsung terkait dengan privasi dan keamanan juga dapat dianggap sebagai header keamanan HTTP. Dengan mengaktifkan header yang sesuai di aplikasi web dan pengaturan server web, Anda dapat meningkatkan ketahanan aplikasi web Anda terhadap banyak serangan umum, termasuk Cross-Site Scripting (XSS) dan clickjacking.
Bagaimana Caranya HTTP Security Header Memperkuat Keamanan?
Ketika kita berbicara tentang keamanan aplikasi web, kita biasanya bermaksud menemukan kerentanan yang dapat dieksploitasi dan memperbaikinya dalam kode aplikasi. Header keamanan HTTP memberikan lapisan keamanan ekstra dengan membatasi perilaku yang diizinkan browser dan server setelah aplikasi web berjalan. Dalam banyak kasus, menerapkan header yang tepat adalah aspek penting dari pengaturan aplikasi praktik terbaik – tetapi bagaimana kita tahu mana yang harus digunakan?
HTTP Security Header Yang Paling Penting Diimplementasikan
Oke, jadi disini kita akan me-list beberapa Security Header yang eksistensinya penting untuk diimplementasikan.
1. Strict-Transport-Security
Saat diaktifkan di server, HTTP Strict Transport Security (HSTS) memberlakukan penggunaan koneksi HTTPS terenkripsi alih-alih komunikasi HTTP teks biasa.
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Ini akan memberi tahu browser web pengunjung bahwa situs saat ini (termasuk subdomain) hanya HTTPS dan browser harus mengaksesnya melalui HTTPS selama 2 tahun ke depan (nilai usia maksimal dalam detik). Arahan pramuat menunjukkan bahwa situs tersebut ada di daftar global situs khusus HTTPS. Preloading dimaksudkan untuk mempercepat pemuatan halaman dan menghilangkan risiko serangan man-in-the-middle (MITM) ketika sebuah situs dikunjungi untuk pertama kalinya.
2. Content-Security-Policy
Header Content-Security-Policy (CSP) adalah pisau keamanan HTTP dari Swiss Army dan cara yang disarankan untuk melindungi situs web dan aplikasi Anda dari serangan XSS. Ini memungkinkan Anda untuk secara tepat mengontrol sumber konten yang diizinkan dan banyak parameter lainnya.
Content-Security-Policy: default-src 'self'
3. X-Frame-Options
Header ini pertama kali diperkenalkan di Microsoft Internet Explorer untuk memberikan perlindungan terhadap serangan skrip lintas situs yang melibatkan iframe HTML.
X-Frame-Options: deny
Nilai lain yang didukung adalah sameorigin untuk memungkinkan pemuatan ke iframe dengan origin yang sama dan allow-from untuk menunjukkan URL tertentu. Header ini biasanya dapat diganti dengan arahan CSP yang sesuai.
HTTP Security Header Berguna Lainnya
Meskipun tidak sepenting CSP dan HSTS, header di bawah ini juga dapat membantu kita untuk memperkuat aplikasi web.
1. X-Content-Type-Options
Saat ada di respons server, header ini memaksa browser web untuk mengikuti tipe MIME yang ditentukan dalam header Content-Type secara ketat. Hal ini melindungi situs web dari serangan Cross-Site Scripting yang menyalahgunakan kemampuan sniffing MIME untuk memasok kode berbahaya yang menyamar sebagai tipe MIME yang tidak dapat dijalankan.
X-Content-Type-Options: nosniff
2. Referrer-Policy
Mengontrol jika dan seberapa banyak informasi referrer yang harus diungkapkan ke server web.
Referrer-Policy: origin-when-cross-origin
Dengan header ini, browser hanya akan mengungkapkan informasi referrer lengkap (termasuk URL) untuk permintaan asal yang sama. Untuk semua permintaan lainnya, hanya informasi tentang asal yang dikirim.
image source from istock
content source from invicti
Comments
Post a Comment