Sikkerhedsheaders — HSTS, CSP og SEO-konsekvenser
HSTS, CSP og X-Frame-Options er sikkerhedsheaders der beskytter mod angreb. HSTS er direkte relevant for SEO via HTTPS-enforcement. CSP kan blokere analytics og tracking ved forkert konfiguration.
Sikkerhedsheaders er HTTP response headers der instruerer browseren om sikkerhedsrestriktioner. De beskytter mod angreb som XSS (Cross-Site Scripting), clickjacking og protocol downgrade. For SEO er de primært relevante fordi forkert konfiguration kan bryde sitets funktionalitet — og fordi de er et signal til teknisk-kyndige om webmaster-professionalisme.
HSTS — HTTP Strict Transport Security
HSTS instruerer browseren i altid at bruge HTTPS til dit domain — selv hvis brugeren skriver http://:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadmax-age=31536000 er et år. includeSubDomains gælder alle subdomæner. preload tilmelder sitet HSTS Preload List — en hardkodet liste i Chromium, Firefox og Safari der sikrer HTTPS fra allerførste request.
HSTS eliminerer HTTP-til-HTTPS-redirect-trin og reducerer TTFB minimalt. Det er den stærkeste HTTPS-enforcement-mekanisme.
Content-Security-Policy
CSP er en whitelist af tilladte ressource-sources. En simpel CSP:
Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com; img-src 'self' data:CSP beskytter mod XSS ved at forhindre eksekvering af injected scripts. Det er den teknisk mest komplekse sikkerhedsheader og kræver omhyggelig konfiguration. Start i Content-Security-Policy-Report-Only mode der logger violations uden at håndhæve dem.
X-Frame-Options og Clickjacking
X-Frame-Options: DENYForhindrer dit site i at blive vist i en iframe på andre sites. Det beskytter mod clickjacking-angreb. CSP’s frame-ancestors-direktiv er det nyere alternativ og mere fleksibelt.
X-Content-Type-Options
X-Content-Type-Options: nosniffForhindrer browseren i at “sniffe” MIME-typer. Simpel, low-risk header der eliminerer en specifik angrebsvektor.
Tjek din headers
SecurityHeaders.com og Mozilla Observatory er gratis tools der scorer din site på sikkerhedsheaders og giver konkrete anbefalinger. For et professionelt site er A-rating på disse tools et rimeligt mål. → Denne artikel er en del af Server og HTTP-responser — Statuskoder, redirects og caching.
Andre artikler i samme emne
- Backend — Server-side kode og SEO
- Caching — Browser-caching og server-caching til SEO
- CDN — Content Delivery Network og SEO
- HTTP headers — Request og response headers til SEO
- HTTP-statuskoder — 200, 301, 404, 500 og SEO
- HTTPS og SSL/TLS — Sikker forbindelse som SEO-signal
- Komprimering — Gzip, Brotli og hurtigere sideindlæsning
- Minificering — Reducer CSS, JavaScript og HTML-filstørrelser
- Redirect chains — Kæder af omdirigeringer og SEO
- Redirects — 301, 302 og hvornår du bruger hvad
- Soft 404 — Sider der returnerer 200 men opfører sig som 404
Ofte stillede spørgsmål
- Er sikkerhedsheaders en rankingfaktor?
- Ikke direkte. Google bekræfter at HTTPS er et rankingssignal — og HSTS understøtter HTTPS. De øvrige sikkerhedsheaders (CSP, X-Frame-Options, X-Content-Type-Options) er ikke bekræftede rankingfaktorer, men bidrar til sitequalitet og er en del af Googles bredere vurdering af webmaster-professionalisme.
- Kan CSP bryde mit site?
- Ja. En for restriktiv Content-Security-Policy kan blokere JavaScript, inline styles, analytics-scripts, chatwidgets og reklamescripts. CSP skal konfigureres omhyggeligt med alle tilladte sources listet. Start med report-only mode for at identificere hvad CSP ville blokere, inden du håndhæver det.
- Hvad er HSTS Preload List og hvad kræver det?
- HSTS Preload List er en hardkodet liste i Chromium, Firefox og Safari der tvinger HTTPS fra allerførste request — selv inden browseren har set HSTS-headeren. For at blive optaget kræves: HTTPS på hele domænet, HSTS-header med min. 1 års max-age, includeSubDomains og preload-direktiv, og alle subdomæner skal understøtte HTTPS. Tilmelding sker via hstspreload.org. Advarsel: det er svært at fortryde — test grundigt inden preload-tilmelding.
- Hvad er X-Frame-Options og er det stadig relevant?
- X-Frame-Options: DENY forhindrer dit site i at blive indlejret i iframes på andre sites og beskytter mod clickjacking-angreb. Det er teknisk forældet erstattet af CSP's frame-ancestors-direktiv, der er mere fleksibelt og understøtter nonce-baserede tilladelser. Begge virker dog i moderne browsere, og X-Frame-Options anbefales stadig som fallback for kompatibilitet med ældre browsere der ikke understøtter CSP.
- Hvordan opsætter man sikkerhedsheaders i praksis?
- Sikkerhedsheaders opsættes i serverens konfiguration: Apache via .htaccess, Nginx via nginx.conf, og CDN-løsninger som Cloudflare via Transform Rules. Astro og Next.js understøtter headers-konfiguration direkte i framework-konfigurationsfilen. For hurtig audit: brug SecurityHeaders.com eller Mozilla Observatory der scorer din konfiguration og giver konkrete anbefalinger. En A-rating er det anbefalede minimumsmål for professionelle sites.
Placering i ordbogen
- Backend — Server-side kode og SEO
- Caching — Browser-caching og server-caching til SEO
- CDN — Content Delivery Network og SEO
- HTTP headers — Request og response headers til SEO
- HTTP-statuskoder — 200, 301, 404, 500 og SEO
- HTTPS og SSL/TLS — Sikker forbindelse som SEO-signal
- Komprimering — Gzip, Brotli og hurtigere sideindlæsning
- Minificering — Reducer CSS, JavaScript og HTML-filstørrelser
- Redirect chains — Kæder af omdirigeringer og SEO
- Redirects — 301, 302 og hvornår du bruger hvad
- Soft 404 — Sider der returnerer 200 men opfører sig som 404