Konfigurasi HTTP Security headers untuk Azure Static Web Apps

HTTP Security headers adalah bagian paling penting dari aplikasi web yang membantu melindungi dari berbagai serangan, kemungkinan besar, cross-site scripting, clickjacking, dan serangan skrip lainnya, konfigurasi HTTP Security headers sering dilupakan oleh Developer!

Jadi, saya baru-baru ini memeriksa blog saya di securityheaders.com dan hasilnya menunjukkan bahwa HTTP Security headers tidak dikonfigurasi, jadi saya memutuskan untuk meletakkan beberapa HTTP Security headers untuk Azure Static Web Apps saya.

Rekomendasi HTTP security headers

1. Permissions-Policy
2. X-Content-Type-Options
3. X-Permitted-Cross-Domain-Policies
4. X-Frame-Options
5. Content-Security-Policy
6. Strict-Transport-Security

Konfigurasi HTTP security headers

Anda dapat membuat file json bernama staticwebapp.config.json di root situs web dan meletakkan konfigurasi seperti di bawah ini lalu deploy ke host Azure Static Web Apps Anda.

{
      "globalHeaders": {
        "Permissions-Policy": "autoplay=()",
        "X-Content-Type-Options": "nosniff",
        "X-Permitted-Cross-Domain-Policies": "none",
        "X-Frame-Options": "SAMEORIGIN",
        "content-security-policy": "frame-ancestors 'self'; upgrade-insecure-requests",
        "Referrer-Policy":"no-referrer"     
    }
}