Page Comparison

Maatregel

Verplicht

Meer informatie

HTTPS

Ja

Elke website die Mijn Burgerprofiel wil aanbieden, moet via https:// toegankelijk zijn.

Cross-Origin Resource Sharing

Ja

Voorkomt dat externe bronnen requests sturen naar de applicatie. De applicatie moet de ondersteunde CORS zo strict mogelijk te configureren.

Ga voor meer informatie naar:

• https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

• https://www.owasp.org/index.php/Main_Page

Content-Security-Policy

Ja

Zie https://vlaamseoverheid.atlassian.net/wiki/spaces/IKPubliek/pages/6336610336/Veiligheidsmaatregelen#Content-Security-Policy

X-Frame-Options

Ja

Het gebruik van i-frames is ten strengste afgeraden. Zijn i-frames toch noodzakelijk, zorg dan voor een zo strict mogelijke instelling.

Strict-Transport-Security

Ja

Verwittigt de browser om HTTPS te forceren voor alle requests naar de back-end van de applicatie.

Ga voor mee informatie naar:

• https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

• https://www.owasp.org/index.php/Main_Page

Cross-Site Request Forgery

Ja

Voorkomt cross-site request forgery door een uniek token te maken die elke request valideert.

Ga voor meer informatie naar:

• https://developer.mozilla.org/en-US/docs/Glossary/CSRF

• https://www.owasp.org/index.php/Main_Page

X-Download-Options

Ja

Kies voor "noopen" om te voorkomen dat Internet Explorer gedownloade bestanden probeert uit te voeren binnen de context van de website.

X-Content-Type-Options

Ja

Kies voor "nosniff" om te voorkomen dat een browser MIME types probeert te raden.

X-Powered-By

Nee

Maak bij voorkeur geen informatie bekend over de infrastructuur of de applicatie.

X-Robots-Tag

Nee

Vermeld bij voorkeur expliciet aan crawlers dat de inhoud van pagina's niet gecachet mag worden.

Voor de meeste pagina's is authenticatie nodig. Bijgevolg zijn die al beschermd zijn door de sessiedetectie.