"securityHttpHeaders"
Verhindert Sicherheitslücken wie Cross-Site Scripting, Clickjacking usw.
Beispiel
"securityHttpHeaders": {
"strictTransportSecurity": "max-age=63072000; includeSubDomains; preload",
"crossOriginResourcePolicy": "same-site",
"crossOriginOpenerPolicy": "same-origin",
"xFrameOptions": "SAMEORIGIN",
"xPermittedCrossDomainPolicies": "none",
"referrerPolicy": "strict-origin-when-cross-origin",
"clearSiteDataValue": "cache", "cookies", "storage"
},
Die folgende optionale Eigenschaft kann in diese Konfiguration eingeschlossen werden:
"crossOriginEmbedderPolicy": "require-corp"
Diese Kopfzeile mit dem Standardwert require-corp lässt das Laden externer Ressourcen wie Bilder, Skripts usw. von anderen Domänen oder Ursprüngen nicht zu und verhindert so Seitenkanal-Angriffe.
Weitere Informationen zu Sicherheitskopfzeilen finden Sie im Abschnitt
HTTP Security Response Headers in der OWASP Cheat Sheet Series.
Site-Daten löschen und auf die Codebeamer Startseite umleiten
Die Kopfzeile clearSiteDataValue ermöglicht das Löschen von Cache, Cookies und Speicherung, sobald sich ein Benutzer von Codebeamer abmeldet. Anschließend wird der Benutzer nach der erneuten Anmeldung auf die Seite Meine Startseite umgeleitet, anstatt auf die Seite, die der Benutzer vor der Abmeldung geöffnet hatte.