Firefox 4 – Neue HTTP Header

Mit der neuen Version des Firefox wurden einige neue HTTP Header eingeführt die Entwicklern die Arbeit etwas erleichtern sollen und den Benutzer besser schützen.

Framebreaker – X-Frame-Options

Mit dem Header X-Frame-Options:DENY wird angezeigt das die Seite nicht in einem iFrame/Frame eingebunden werden darf. Alternativ geht auch die Einstellung: SAMEORIGIN damit zumindest Seiten von der selben Domain die Seite framen dürfen.

Nicht Tracken – DNT

Der DNT (Do Not Track)-Header wird vom Firefox als Anfrage-Header mitgeschickt wenn der Benutzer das konfiguriert hat. Er soll anzeigen das man den User nicht für Werbezwecke verfolgen soll. Laut Blog Artikel sind damit die “Online Behavioral Ads” bzw. Remarketing gemeint.

User Agent kürzer

Der Firefox User Agent Header wurde verkürzt und verrät jetzt weniger. Der UA für Firefox 4 sieht damit zum Beispiel so aus:

Mozilla/5.0 (Windows NT x.y; rv:2.0.1) Gecko/20100101 Firefox/4.0.1

SSL aber fix – Strict-Transport-Security

Der Strict-Transport-Security Header zeigt an das die Seite nur über SSL aufrufbar ist. Dieser Header wird vom Server geschickt und dann im Browser zwischengespeichert. Nach dem ersten Aufruf weiß der Browser also dann immer das die Seite nur verschlüsselt angezeigt werden kann. Man kann den Header auf Subdomains ausweiten und mit einem Timeout versehen:

Strict-Transport-Security: max-age:expireTime [; includeSubdomains]