Webanwendung

(Beispiel für AE (und SI))

IT-Grundschutz-Bausteine

• CON.2 Datenschutz
• CON.8 Software-Entwicklung
• CON.10 Entwicklung von Webanwendungen
• APP.3.1 Webanwendungen und Webservices
• APP.3.2 Webserver

Beispiel Anforderung

APP.3.1.A21 Sichere HTTP-Konfiguration bei Webanwendungen

Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen SOLLTE der IT-Betrieb geeignete HTTP-Response-Header setzen. Dazu SOLLTEN mindestens die folgenden HTTP-Header verwendet werden:

• Content-Security-Policy,
• Strict-Transport-Security,
• Content-Type,
• X-Content-Type-Options sowie
• Cache-Control

Weitere Infos

• OWASP HTTP-Headers CheatSheet
• OWASP Top 10 Web Application Security Risks