Enable meta-Tag Scan for all headers

[Lednerb]

At the moment only the Content-Type Header gets also checked via meta tag.

We should enable to scan also the meta tags set on the HTML itself, although it might not be as secure as the HTTP-Header.

[Lednerb]

Beim Scan einer Seite, die Ihre Header ausschließlich per meta-Tags setzen kann, wird beim Scanner ein score: 0 geliefert, obwohl die Angaben vorhanden sind.

Dies sollte in absehbarer Zeit umgesetzt werden, sodass auch beim Scan von nachfolgender Seite korrekt dargestellt wird.

<html>
<head>
<title>Hauptseite </title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="siwecostoken" content="EIN-TOKEN" />
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self' bildbox-online.de; script-src 'self'; style-src 'self'" />
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'" />
<meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'" />
<meta http-equiv="Feature-Policy" content="vibrate 'self'; geolocation 'none'; payment 'none';" />
</head>

---

Evtl. niedrigerer Score, da HTTP-Header schwerer zu manipulieren sind als <meta>-Tags....

[PetraStruck]

Unter https://siwecos.de/wiki/Content-Security-Policy-Schwachstelle/DE weisen wir darauf hin, wie der Header der Startseite aussehen soll. Wäre gut, wenn das in den Header Scan mit einfließt. Viele KMUs haben keinen eigenen Server, sondern hosten ihre Webseiten bei 1&1 oder ähnlichen Hostern. Die Erstellung einer .htaccess-Datei führt da u. U. zu anderen Problemen.

[SniperSister]

Die Erstellung einer .htaccess-Datei führt da u. U. zu anderen Problemen.

Ich kenne keinen einzigen "normalen" Shared Hoster bei dem .htaccess Dateien nicht funktioniert, die werden für's URL Rewritung benötigt und sind absolut gängig

[PetraStruck]

Richtig, ist auch bei 1&1 erlaubt. Wenn man, wie ich, aber mehrere Domains hat, wird es für Laien schwierig, die .htaccess-Datei so zu gestalten, dass sie nicht andere Sachen stört. Bei mir war es so, dass "meine" .htaccess-Datei (erstellt nach den Vorgaben unter https://siwecos.de/wiki/Htaccess/DE ) dazu führte, dass das SSL-Zertifikat nicht "griff", also im Firefox das Schloss nicht grün wurde. Nach vielen Telefonaten mit dem Support, stellte sich die .htaccess-Datei als Ursache heraus. Ich bin zu sehr Laie, um zu beurteilen, ob das stimmt, aber ich denke vielen KMUs wird es genauso gehen.