Mengenal Security Header

Pada dasarnya, ketika pengguna mengunjungi situs web, server web Anda mengirimkan respon header HTTP kembali ke browser mereka. Respon ini memberitahu browser tentang kode kesalahan, control cache, dan status lainnya.

Respon header normal mengeluarkan status yang disebut HTTP 200. Setelah itu situs web Anda dimuat di browser pengguna. Namun, jika situs web Anda mengalami kesulitan maka server web Anda mungkin mengirimkan header HTTP yang berbeda.

Misalnya, mengirim kesalahan server internal 500, atau kode kesalahan 404 tidak ditemukan.

Keamanan header memungkinkan server situs web Anda memiliki lapisan keamanan untuk membantu mencegah aktivitas berbahaya agar tidak mempengaruhi kinerja situs Anda.

Untuk mengetahui skor keamanan header situs Anda, scan secara online di Security Header.

Berikut adalah penjelasan hasil skor:

  1. Strict-Transport-Security
    HTTP Strict-Transport-Security (HSTS) adalah respon yang menginformasikan browser bahwa situs hanya boleh diakses menggunakan HTTPS dan setiap upaya untuk mengaksesnya menggunakan HTTP secara otomatis dikonversi ke HTTPS.
  2. Content-Security-Policy (CSP)
    Respon HTTP yang digunakan browser untuk meningkatkan keamanan halaman web. Header Content-Security-Policy memungkinkan Anda membatasi  seperti JavaScript, CSS atau apa pun yang dimuat browser. CSP pertama kali dirancang untuk mengurangi serangan Cross Site Scripting (XSS),  kemudian pada versi berikutnya dapat digunakan untuk melindungi serangan Clickjacking.
  3. X-Frame-Options
    Respon HTTP X-Frame-Options dapat digunakan untuk menunjukkan apakah browser harus diizinkan atau tidak untuk melakukan render halaman dalam <frame>, <iframe>, <embed>,  <object>. Website dapat menggunakan keamanan ini untuk menghindari serangan Clickjacking dengan memastikan bahwa konten di dalam website tidak menampilkan situs lain seperti YouTube dsb.
  4. X-Content-Type-Options
    X-Content-Type-Options adalah respon  HTTP header  yang digunakan oleh server untuk menunjukkan bahwa tipe MIME yang dikirimkan harus diikuti dan tidak diubah. Hal memungkinkan Anda untuk menghindari sniffing tipe MIME ( Multipurpose Internet Mail Extensions or MIME )
  5. Referrer-Policy
    Header
    Referrer-Policy adalah kebijakan untuk mengontrol berapa banyak referrer information dikirim saat pengguna membuka website.  Pada beberapa kondisi, sebuah website perlu melindungi keamanan dan privasi pengguna saat mereka melakukan klik ke tautan external. Apalagi jika mereka berasal dari website yang menerapkan enkripsi HTTPS seperti Facebook, Twitter, akun perbankan, e-commerce ke website lain yang tidak menerapkan protokol HTTP.
  6. Permissions-Policy
    Header Permissions-Policy memungkinkan situs web untuk menentukan fitur browser web mana yang harus diizinkan untuk berfungsi. Ini dapat membantu meningkatkan privasi pengguna (misal: menonaktifkan mikrofon) dan juga dapat digunakan untuk menerapkan praktik terbaik (misal: memblokir gambar yang terlalu besar).