Beschrijving
...
- Gebruik een (digitale) handtekening om de integriteit van JSON Web Tokens te waarborgen.Een vertrouwende partij moet de integriteit van het JWT verifiëren op basis van zijn eigen configuratie of gecodeerde logica.Het mag niet vertrouwen op de informatie van de JWT-header om het verificatiealgoritme te selecteren.
- De ondertekening moet gedaan worden met asymmetrische algoritmen. Symmetrische algoritmen zijn niet toegestaan.
- De volgende algoritmen zijn toegestaan om JWT documenten te ondertekenen:
- RS256, RS384, en RS512
- ES256, ES384, and ES512
Autoriseer HTTP interacties op de verschillende resources d.m.v. een autorisatie lijst. Deze lijst kan via beheerschermen beheerd worden.
...
- Er zijn een aantal beveiliging gerelateerde headers die kunnen worden geretourneerd in de HTTP-responses om browsers te instrueren om op specifieke manieren te handelen. De volgende kopteksten moeten in alle (RESTful) API-reacties worden opgenomen.
| Header | Beschrijving |
|---|---|
| Cache-Control: no-store | Voorkom dat gevoelige informatie in de (browser) cache wordt opgeslagen |
| Content-Security-Policy: frame-ancestors 'none' | Bescherming tegen drag-and-drop style clickjacking aanvallen |
| Content-Type | Specificeer de content type van de response (antwoord). Dit MOET gevuld worden |
| Strict-Transport-Security | Om een verbinding via HTTPS te vereisen en te beschermen tegen vervalste certificaten |
| X-Content-Type-Options: nosniff | Om MIME-sniffing via de browser te voorkomen |
| X-Frame-Options: DENY | Bescherming tegen clickjacking aanvallen met drag-and-drop style |
...
- Er zijn een aantal beveiliging gerelateerde headers die kunnen worden geretourneerd in de HTTP-responses om browsers te instrueren om op specifieke manieren te handelen. De volgende kopteksten moeten in alle (RESTful) API-reacties worden opgenomen.
| Header | Beschrijving |
|---|---|
| Cache-Control: no-store | Voorkom dat gevoelige informatie in de (browser) cache wordt opgeslagen |
| Content-Security-Policy: frame-ancestors 'none' | Bescherming tegen drag-and-drop style clickjacking aanvallen |
| Content-Type | Specificeer de content type van de response (antwoord). Dit MOET gevuld worden |
| Strict-Transport-Security | Om een verbinding via HTTPS te vereisen en te beschermen tegen vervalste certificaten |
| X-Content-Type-Options: nosniff | Om MIME-sniffing via de browser te voorkomen |
| X-Frame-Options: DENY | Bescherming tegen clickjacking aanvallen met drag-and-drop style |
...