zur Zeit kümmere ich mich um den Schutz meiner websites, leider ist dies notwendig weil ein Paar Idioten es wohl lustig finden sie zu attackieren.

## Mod Headers – Security
<IfModule mod_headers.c>
   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
   Header set X-Content-Type-Options "nosniff"
   Header set X-XSS-Protection "1; mode=block"
   Header append X-Frame-Options "SAMEORIGIN"
   Header always edit Set-Cookie (.*) "$1; HttpOnly; Secure; SameSite=Strict"
   Header unset X-Powered-By
   Header unset Server
   Header set Referrer-Policy "no-referrer"
</IfModule>

Nichts davon schützt deine Seiten, du schützt damit deine Besucher.

Für eine A-Bewertung brauchst du lediglich Strict-Transport-Security, Content-Security-Policy und X-Content-Type-Options. Bei mir war das bislang immer problemlos möglich, wobei Content-Security-Policy natürlich auch wirklich benutzt werden sollte. Wer da lauter 'unsafe'-Werte und eine ellenlange Liste an Drittanbietern drin hat, hat den Sinn nicht so ganz verinnerlicht.

X-XSS-Protection und X-Frame-Options (und viel mehr) sind in Content-Security-Policy enthalten. Damit solltest du dich beschäftigen und die beiden alten rauswerfen.

An den Cookies rumzufummeln scheint mir eher ein Doktern am Symptom zu sein als eine Beseitigung der Ursache. Du solltest wissen, wo du Cookies setzt, also solltest du auch dort die gewünschten Optionen setzen und nicht erst zwischen Tür und Angel, kurz bevor sie in die weite Welt hinaus sind.

Die geschwätzigen X-Powered-By und Server kann man löschen, aber es ist nicht so, dass du damit irgendeine Sicherheitslücke ausschaltest. Entweder hast du die aktuellste Software auf dem Server und bist auf der sicheren Seite, oder du hast sie eben nicht, dann hilft dir aber das Versteckspiel nichts. Das ist so sinnvoll wie ein Schild, "Diese Tür ist abgeschlossen": Wer rein will, rüttelt so oder so an der Tür. Das Löschen der beiden Angaben ist ein Akt der Netzhygiene, eine Reduzierung des Hintergrundrauschens, nicht mehr.

Schlussendlich, der Sinn von Referrer-Policy ist mir schleierhaft, genauer: eine Datenschutzoption an dieser Stelle einzubauen. Möchte der Besucher nicht, dass sein Browser die vorherige Seite verrät, dann soll er ihn entsprechend einstellen. Meinen Browser-Hersteller, dass das besser wäre, dann sollen sie ihre Browser ab Werk so einstellen. Aber die Verantwortung für die Browser auf die Seitenbetreiber abzuwälzen ist ein wenig albern. Das ist bestenfalls eine Verzweiflungstat ob der Unfähigkeit der erstgenannten beiden Gruppen.

Davon abgesehen ist no-referrer eine schlechte Wahl. Mit same-origin versteckst du deine Herkunft genauso vor anderen, bekommst aber selbst die Informationen, die du sowieso irgendwo im Zugriffsprotokoll hast, aber eben direkt bei dem betreffenden Zugriff. Es erleichtert die Suche nach der Herkunft von Zugriffen auf nicht existierende Daten. (Zugegeben: Kümmerst du dich eh nie um die Fehler, die dein Server für dich protokolliert, kannst du auch bei no-referrer bleiben.)

Im Übrigen auch nett: https://observatory.mozilla.org/