Beschrijving
...
In koppeltaal worden FHIR resources uitgewisseld via een FHIR resource service. Wie daar wat mag wordt door de authorisatieservice bepaald. In Koppeltaal wordt bewust de keuze gemaakt dat applicaties en niet personen toegang krijgen tot de FHIR resources in de FHIR resource service. Dit heeft te maken met de huidige status quo: de applicaties die we koppelen hebben reeds een toegangsmodel. Daar een ander toegangsmodel aan toevoegen brengt onnodige complexiteit. Als gevolg van deze beslissing is het dus van belang te stellen dat de verantwoordelijkheid voor wat de gebruiker mag doen en mag inzien bij de applicaties in het domein ligt, en niet bij de autorisatie service of de FHIR resource service. Om toch een beperking te stellen aan de applicaties, wordt en met de de autorisatieregels de applicaties beperkt in hun acties op de FHIR resource service.
Toepassing en restricties
...
- Er zijn een aantal beveiliging gerelateerde headers die kunnen worden geretourneerd in de HTTP-responses om browsers te instrueren om op specifieke manieren te handelen. De volgende kopteksten moeten in alle (RESTful) API-reacties worden opgenomen.
| Header | Beschrijving |
|---|---|
| Cache-Control: no-store | Voorkom dat gevoelige informatie in de (browser) cache wordt opgeslagen |
| Content-Security-Policy: frame-ancestors 'none' | Bescherming tegen drag-and-drop style clickjacking aanvallen |
| Content-Type | Specificeer de content type van de response (antwoord). Dit MOET gevuld worden |
| Strict-Transport-Security | Om een verbinding via HTTPS te vereisen en te beschermen tegen vervalste certificaten |
| X-Content-Type-Options: nosniff | Om MIME-sniffing via de browser te voorkomen |
| X-Frame-Options: DENY | Bescherming tegen clickjacking aanvallen met drag-and-drop style |
...
- Er zijn een aantal beveiliging gerelateerde headers die kunnen worden geretourneerd in de HTTP-responses om browsers te instrueren om op specifieke manieren te handelen. De volgende kopteksten moeten in alle (RESTful) API-reacties worden opgenomen.
| Header | Beschrijving |
|---|---|
| Cache-Control: no-store | Voorkom dat gevoelige informatie in de (browser) cache wordt opgeslagen |
| Content-Security-Policy: frame-ancestors 'none' | Bescherming tegen drag-and-drop style clickjacking aanvallen |
| Content-Type | Specificeer de content type van de response (antwoord). Dit MOET gevuld worden |
| Strict-Transport-Security | Om een verbinding via HTTPS te vereisen en te beschermen tegen vervalste certificaten |
| X-Content-Type-Options: nosniff | Om MIME-sniffing via de browser te voorkomen |
| X-Frame-Options: DENY | Bescherming tegen clickjacking aanvallen met drag-and-drop style |
...