Content Security Policy (CSP)
Je website staat open voor de wereld — en helaas ook voor aanvallers. Een van de meest voorkomende aanvallen op websites is Cross-Site Scripting (XSS) alleen code en middelen van goedgekeurde bronnen mogen worden geladen.
Wat is HTTPS en waarom heb je het nodig?
Heb je ooit het slotje in je browser gezien, links van een webadres? Dat slotje betekent dat de website gebruikmaakt van HTTPS. Maar wat is het verschil met gewoon HTTP — en waarom is het zo belangrijk?
Veiligheidsheaders: bescherm je website met één regel
Je kent de Content Security Policy al — een HTTP-header die de browser vertelt welke scripts en bestanden geladen mogen worden. Maar CSP is niet de enige veiligheidsheader. Er zijn er nog een paar die samen een solide basisbeveiliging vormen voor elke website.
Geheimen bewaren met omgevingsvariabelen
Stel je bouwt een website die gebruikmaakt van een externe dienst — een betaalprovider, een kaartendienst, een e-mailservice. Die dienst geeft je een API-sleutel: een geheime code die bewijst dat jij het bent. Wat nou als je die sleutel per ongeluk op GitHub zet?