HTTP Headers in Joomla

1. De basis

1.1 Wat is een HTTP-header?

Elke keer dat een browser een pagina opvraagt bij een webserver, gaan er twee korte stukjes metadata heen en weer:

• de request headers die de browser verstuurt
• de response headers die de server terugstuurt

Headers zijn eenvoudige key-valueparen die boven de daadwerkelijke HTML staan. De gebruiker ziet ze nooit, maar de browser gebruikt ze om te bepalen hoe de pagina moet worden behandeld.

1.2 Een eenvoudig voorbeeld

Wanneer je een pagina opent, ziet de response van de server er ongeveer zo uit:

HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache
Server: Apache

De eerste regel is de status. De regels daaronder zijn response headers. De meeste beveiligingsmechanismen op het moderne web zitten precies in deze regels.

1.3 De headerfamilies

Niet elke header gaat over beveiliging. HTTP-headers vallen grofweg in zes categorieën:

Dit artikel focust op de laatste rij: security headers.

3. Waar kun je HTTP-headers instellen?

Er zijn vijf plekken in een typische Joomla-stack waar een response header kan worden toegevoegd. Ze bereiken allemaal de browser, maar de juiste plek kiezen is belangrijk voor duidelijkheid en onderhoud.

3.1 Webserverconfiguratie, Apache of NGINX

add_header X-Frame-Options "SAMEORIGIN" always;

3.2 Het .htaccess-bestand

Header set X-Frame-Options "SAMEORIGIN"

3.3 PHP-code

header('X-Frame-Options: SAMEORIGIN');

3.4 HTML-metatag, alleen CSP

<meta http-equiv="Content-Security-Policy"
      content="default-src 'self'; script-src 'self' https://example.com">

Belangrijk: de meeste security headers kunnen niet vanuit een <meta>-tag worden ingesteld. Alleen Content-Security-Policy kan dat. Voor al het andere heb je serverconfiguratie, PHP of de Joomla-plugin nodig.

3.5 De Joomla HTTP Headers-plugin

De plugin is een GUI in de Joomla-administrator. Geen bestanden bewerken, geen servertoegang nodig. Dit maakt Joomla onderscheidend ten opzichte van veel andere CMS-platformen.

5. De security headers, één voor één

Elke security header lost een specifiek probleem op. De voorbeelden hieronder tonen eerst de aanval en daarna de header die die aanval blokkeert.

5.1 X-Frame-Options, clickjacking

De aanval: Een aanvaller laadt je site in een iframe op evil.example.com en tekent er een onzichtbare knoplaag bovenop. De bezoeker denkt op jouw "Like"-knop te klikken, maar klikt in werkelijkheid op de knop "Transfer money" van de aanvaller op jouw site. Dit heet clickjacking of UI redressing.

De oplossing: Vertel de browser dat andere sites jou niet mogen embedden.

X-Frame-Options: SAMEORIGIN

Mogelijke waarden:

• DENY, nooit embedded.
• SAMEORIGIN, alleen je eigen pagina’s mogen je embedden, de Joomla-standaard.

5.2 Referrer-Policy, informatielek

De aanval: Een bezoeker op https://your-site/account/order/12345 klikt op een link naar een partnersite. De browser vertelt de partnersite: "deze bezoeker kwam van /account/order/12345". De URL zelf kan order-ID’s, zoektermen of tokens lekken.

De oplossing: Vertel de browser hoeveel referrer-informatie hij mag delen.

Referrer-Policy: strict-origin-when-cross-origin

Veelvoorkomende waarden:

• no-referrer, deel niets.
• same-origin, deel de volledige URL binnen de site, niets met buitenstaanders.
• strict-origin, deel alleen https://your-site/ zonder pad.
• strict-origin-when-cross-origin, volledige URL intern, alleen origin extern, Joomla-standaard.
• no-referrer-when-downgrade, deel tenzij je van HTTPS naar HTTP gaat.

De standaard is al privacyvriendelijk. Maak hem alleen ruimer wanneer een analyticsprovider duidelijk meer nodig heeft.

5.3 Cross-Origin-Opener-Policy / COOP, tab-isolatie

De aanval: Een bezoeker opent je site in tab 1 en evil.example.com in tab 2. De kwaadaardige site roept window.opener aan en probeert tab 1 te lezen of te manipuleren. Side-channelaanvallen zoals Spectre kunnen data tussen tabs lekken.

De oplossing: Isoleer je tab van elke cross-origin opener.

Cross-Origin-Opener-Policy: same-origin

Waarden:

• same-origin, volledige isolatie, Joomla-standaard.
• same-origin-allow-popups, isoleren, maar pop-ups die je zelf opent normaal laten werken.
• unsafe-none, geen isolatie.

COOP is zo’n header waar bijna niemand over praat, terwijl hij standaard in Joomla aan staat en stilletjes een hele klasse cross-tabaanvallen uitschakelt.

5.4 X-Content-Type-Options, MIME-sniffing

De aanval: Een bezoeker uploadt avatar.png, maar het bestand is eigenlijk JavaScript met een neppe .png-extensie. Een andere bezoeker opent een pagina die linkt naar /avatar.png. De browser snuffelt aan de inhoud, besluit dat het op JavaScript lijkt en voert het uit. De aanvaller heeft nu stored XSS.

De oplossing: Vertel de browser dat hij de Content-Type-header moet vertrouwen en nooit mag raden.

X-Content-Type-Options: nosniff

Er is maar één geldige waarde: nosniff.

De Joomla-plugin stelt deze header niet in. Je moet hem zelf instellen in .htaccess:

Header always set X-Content-Type-Options "nosniff"

Of in NGINX:

add_header X-Content-Type-Options "nosniff" always;

Dit is de eenvoudigste en goedkoopste security header. Vergeet hem niet.

5.5 Permissions-Policy, browserfuncties

De aanval: Je pagina embedt een iframe van een derde partij. Het iframe toont een prompt "allow camera?". De bezoeker denkt dat de prompt van jou komt en klikt op Allow. De derde partij heeft nu cameratoegang op jouw domein.

De oplossing: Declareer welke browserfuncties zijn toegestaan en welke iframes ze mogen gebruiken.

Permissions-Policy:
  camera=(),
  microphone=(),
  geolocation=(self),
  payment=(self "https://checkout.example.com"),
  usb=(),
  accelerometer=()

Veelvoorkomende functies zijn camera, microphone, geolocation, payment, usb, fullscreen, accelerometer, gyroscope, magnetometer en autoplay.

Je kunt deze header toevoegen in de plugin onder Basic → Additional HTTP Headers. Kies Permissions-Policy, plak de waarde en selecteer Site, Administrator of Both.

Tip: Permissions-Policy is de moderne vervanger van de oudere Feature-Policy. Zet alles wat je niet gebruikt op lege ().

5.6 Cross-Origin Resource Sharing, CORS

De aanval: Een geregistreerde bezoeker is ingelogd op je site. Zonder uit te loggen bezoekt hij evil.example.com. De kwaadaardige site draait een script dat fetch('https://your-site/api/...') aanroept. De browser verstuurt de call met de sessiecookie van de gebruiker. Zonder CORS-regels antwoordt je API vrolijk.

De oplossing: De browser handhaaft standaard het same-origin policy. Met CORS kun je die zorgvuldig versoepelen, per naam, wanneer je daar een legitieme reden voor hebt, bijvoorbeeld een JavaScript single-page app op een ander domein.

CORS is niet de taak van de HTTP Headers-plugin. Joomla heeft hiervoor een aparte schakelaar:

System → Global Configuration → Server tab → Web Services → Enable CORS = Yes

Dit voegt de response header Access-Control-Allow-Origin toe aan Web Service- en API-endpoints.

Laat CORS UIT, tenzij je echt een cross-origin JavaScript-client hebt. Het inschakelen zonder origins te beperken maakt je API wereldleesbaar.

5.7 Strict-Transport-Security, HSTS

De aanval: Je site wordt normaal via HTTPS aangeboden. Op een dag wordt hij door een misconfiguratie kort via HTTP geserveerd. Een aanvaller op openbare wifi voert een SSL-stripping man-in-the-middle-aanval uit. De bezoeker verstuurt een loginformulier onversleuteld en inloggegevens lekken.

De oplossing: Vertel de browser dat hij je altijd via HTTPS moet laden, zelfs als de gebruiker http:// typt.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Opties:

• max-age=31536000, onthoud dit één jaar, Joomla-standaard.
• includeSubDomains, pas dit ook toe op elk subdomein.
• preload, vraag opname aan in de ingebouwde HSTS-lijst van browsers.

De browser bewaart het domein in zijn HSTS-cache. De volgende keer dat iemand http://your-site/ typt, herschrijft de browser de URL intern naar https://your-site/ voordat de request het apparaat verlaat.

Waarschuwing: HSTS blijft plakken. Als je preload inschakelt en je SSL-certificaat kwijtraakt, worden bezoekers maandenlang buitengesloten. Test altijd eerst met een korte max-age, bijvoorbeeld 300 seconden.

7. Client targeting: Site versus Administrator

7.1 Een unieke functie van de Joomla-plugin

Elke header kan worden ingesteld voor een van drie targets:

• De front-end, Site.
• De back-end, Administrator.
• Beide.

7.2 Waarom dit belangrijk is

Meestal wil je een striktere CSP in de administrator, waar geen user-generated content is, en een lossere CSP op de front-end, waar redacteuren YouTube, Twitter, Matomo en andere embeds plakken.

In de plugin ziet de check er zo uit, vereenvoudigd:

if (!$this->getApplication()->isClient($cspValue->client)
    && $cspValue->client != 'both') {
    continue;
}

Een praktisch voorbeeld: stel frame-src 'none' alleen in voor Administrator, terwijl YouTube-embeds beschikbaar blijven op de front-end.

9. Onder de motorkap, developer view

9.1 Event-driven architecture

De plugin implementeert SubscriberInterface en abonneert zich op twee events:

public static function getSubscribedEvents(): array
{
    return [
        'onAfterInitialise' => 'setHttpHeaders',
        'onAfterRender'     => 'applyHashesToCspRule',
    ];
}

9.2 De lifecycle

1. Construct, als nonces zijn ingeschakeld, genereer 64 random bytes, encodeer ze met base64 en sla ze op als csp_nonce op de application.
2. onAfterInitialise, bouw de headerlijst op uit pluginparameters en roep $app->setHeader() aan voor elke header.
3. onAfterRender, loop door de gerenderde head data, hash elk inline script en elke inline style, en vervang daarna de placeholders {script-hashes} en {style-hashes} in de CSP-header.

Er zijn twee events nodig omdat CSP-hashes pas kunnen worden berekend nadat Joomla de pagina heeft gerenderd. Al het andere kan vroeg worden ingesteld.

9.3 De sourcecode-layout

plugins/system/httpheaders/
├── httpheaders.xml          (manifest + form fields)
├── postinstall/
│   └── introduction.php     (post-install message)
├── services/
│   └── provider.php         (DI service registration)
└── src/
    └── Extension/
        └── Httpheaders.php  (the plugin class)

9.4 De ondersteunde header allow-list

De plugin houdt een hard-coded lijst bij van headers die hij mag instellen:

private $supportedHttpHeaders = [
    'strict-transport-security',
    'content-security-policy',
    'content-security-policy-report-only',
    'x-frame-options',
    'referrer-policy',
    'expect-ct',
    'feature-policy',
    'cross-origin-opener-policy',
    'report-to',
    'permissions-policy',
    'nel',
];

Een administrator kan niet per ongeluk een willekeurige of verkeerd gevormde header injecteren. Het formulier fungeert als vangnet. Let op wat in deze lijst ontbreekt: x-content-type-options. Precies daarom is sectie 5.4 belangrijk.

11. Veelgemaakte fouten en valkuilen

11.1 "Mijn site ging stuk nadat ik CSP inschakelde"

Dit gebeurt vrijwel zeker op een typische Joomla-site. Schakel over naar Report-Only en voeg bronnen één voor één toe totdat de console stil is.

11.2 "Google Fonts, Analytics of Maps werken niet meer"

Voeg de juiste domeinen toe aan je CSP:

style-src  'self' https://fonts.googleapis.com;
font-src   'self' https://fonts.gstatic.com;
script-src 'self' https://www.googletagmanager.com;

11.3 "HSTS heeft mijn staging-site kapotgemaakt"

HSTS wordt per hostname ingesteld. Gebruik een apart subdomein voor staging, of een lage max-age, bijvoorbeeld 300, tijdens het testen.

11.4 "De plugin heeft de header ingesteld, maar de browser negeert hem"

Controleer of je reverse proxy of .htaccess dezelfde header instelt. Degene die als laatste draait wint, en proxies winnen meestal. Verwijder de dubbele header op serverniveau.

11.5 "Ik zie de header twee keer"

Een CDN zoals Cloudflare of een load balancer kan een eigen kopie toevoegen. Inspecteer met curl -I vanaf zowel buiten als binnen het netwerk om de bron te vinden.

In de praktijk komt ongeveer 80% van security-headerincidenten door dubbele of tegenstrijdige headers, niet door de plugin zelf.

13. Een aanbevolen startconfiguratie

13.1 Conservatief profiel, lage kans op breuk

Een veilige set headers om mee te starten op de meeste Joomla-sites:

13.2 Agressief profiel, na tuning

Wanneer je een week hebt besteed aan het tunen van je CSP, kun je doorgaan naar:

• CSP enforced met nonces ingeschakeld.
• frame-ancestors 'self' in CSP.
• upgrade-insecure-requests in CSP.
• HSTS preload ingediend bij hstspreload.org.

Lever het conservatieve profiel op dag één aan klanten. Beloof het agressieve profiel pas na een CSP-tuningweek.

15. Samenvatting

HTTP-headers zijn het stille gesprek tussen server en browser. Ze beïnvloeden bijna elke beveiligingscontrole op het moderne web:

• Clickjacking wordt geblokkeerd door X-Frame-Options.
• URL-lekkage wordt verminderd door Referrer-Policy.
• Cross-tabaanvallen worden gestopt door COOP.
• MIME-sniffing XSS wordt voorkomen door X-Content-Type-Options.
• Kwaadaardige iframe-API’s worden uitgeschakeld door Permissions-Policy.
• Cross-origin API-misbruik wordt beheerst door CORS.
• SSL-stripping wordt gestopt door HSTS.
• Stored en reflected XSS worden ingeperkt door CSP.

De meeste andere CMS-platformen hebben een extra extensie, een betaalde dienst of handmatige .htaccess-aanpassingen nodig om moderne security headers te leveren. Joomla 4, 5 en 6 geven je een UI, veilige defaults, per-client targeting, automatische CSP-nonces en hashes, en dat alles zonder kosten.

Je hoeft geen security engineer te zijn. Schakel de plugin in, voeg nosniff toe in .htaccess, zet CSP op Report-Only, bekijk de log een week lang en geef jezelf een score op securityheaders.com. Joomla beschermt je out of the box. Tune de HTTP Headers-plugin, laat CORS uit tenzij nodig, en je site zit in de top 5% van het open web qua security posture.

Security is geen feature. Het is een gewoonte. De plugin maakt die gewoonte makkelijk.