Uden HTTPS er data sårbare for aflytning, hvilket kan kompromittere fortrolige oplysninger.
Headers som Server eller X-Powered-By kan afsløre sårbarheder.
Cookies uden Secure eller HttpOnly kan stjæles via XSS-angreb.
Ældre biblioteker (f.eks. jQuery <3.0) har kendte sårbarheder.
Uden CSP er hjemmesiden sårbar over for XSS-angreb, der injicerer skadelig kode.
Når en hjemmeside ikke benytter HTTPS (HyperText Transfer Protocol Secure), er dataudvekslingen mellem brugerens enhed og hjemmesiden ukrypteret. Det betyder, at uvedkommende – fx hackere på et offentligt Wi-Fi-netværk – potentielt kan opsnappe og aflæse følsomme oplysninger, såsom adgangskoder, personlige data og kreditkortoplysninger.
HTTPS beskytter dine data gennem kryptering, hvilket gør det ekstremt vanskeligt for tredjeparter at aflytte eller manipulere indholdet i kommunikationen. Når en side ikke bruger HTTPS:
En sikker side vil altid have en adresse, der starter med https://, og de fleste browsere viser også et hængelåsikon i adresselinjen. Vores værktøj scanner dine links og advarer dig, hvis en hjemmeside ikke benytter sikker HTTPS-protokol.
Hvis du driver en hjemmeside uden HTTPS, udsætter du ikke blot dine besøgende for unødig risiko, men du risikerer også lavere placering i søgemaskiner og mistet tillid fra dine brugere.
Vores scanner identificerer hurtigt og nemt sider uden HTTPS, så du kan tage affære og sikre en tryg digital oplevelse.
Mange hjemmesider afslører ubevidst detaljer om deres opsætning gennem såkaldte HTTP response headers – små informationsfelter, som sendes med hvert svar fra serveren. Eksempler på disse er:
Selvom de måske virker harmløse, kan disse headers give hackere værdifuld indsigt i, hvilken software og teknologi der anvendes på serveren – fx hvilket operativsystem, versionsnummer, CMS, scripting-sprog eller frameworks.
Når en hacker kender de præcise teknologier og versioner, kan vedkommende:
Kort sagt: Du gør det nemmere at bryde ind, hvis du åbent viser, hvilket "låsesystem" du bruger.
En header som:
viser både teknologien (PHP) og versionsnummeret (5.6.40). PHP 5.6 har ikke fået sikkerhedsopdateringer siden 2018 og er kendt for flere alvorlige sårbarheder – hvilket gør denne information særligt risikabel at dele offentligt.
Når vi scanner dine URL’er, kontrollerer vi automatisk, om serveren lækker tekniske oplysninger gennem headers. Hvis det er tilfældet, får du en advarsel og vejledning til, hvordan du kan sløre, fjerne eller ændre disse oplysninger, så du beskytter både dig selv og dine brugere bedre.
Minimer angrebsfladen – og maksimer sikkerheden.
Cookies bruges til at gemme oplysninger om brugere, f.eks. loginstatus eller præferencer. Men hvis cookies ikke er korrekt konfigureret, kan de udgøre en alvorlig sikkerhedsrisiko. Især manglende Secure- og HttpOnly-flags gør cookies sårbare over for tyveri – særligt i forbindelse med XSS-angreb (Cross-Site Scripting).
Secure-flaget sikrer, at cookien kun sendes over HTTPS. Uden det risikerer man, at cookies sendes i klartekst over usikre netværk, hvor de nemt kan opsnappes.
HttpOnly-flaget forhindrer JavaScript i at tilgå cookien. Det betyder, at selv hvis en angriber får indsættet skadelig kode på siden, kan cookien ikke læses eller stjæles via JavaScript.
Uden disse beskyttelser kan angribere opsnappe eller manipulere brugerens session, hvilket i værste fald kan give dem fuld adgang til en konto – uden at brugeren opdager det.
Ved at aktivere både Secure og HttpOnly beskytter du cookies mod de mest almindelige angreb. Det er en lille justering med stor effekt, og moderne browsere understøtter begge flag som standard. Du bør også overveje at tilføje SameSite=Strict eller SameSite=Lax for at forhindre uønsket dataudveksling på tværs af domæner.
Når vores værktøj scanner dine URL’er, tjekker det automatisk, om cookies sættes uden vigtige sikkerhedsflag. Finder vi usikre cookies, får du en klar advarsel sammen med en anbefaling om, hvordan du kan udbedre problemet.
Sikre cookies er en afgørende del af moderne webbeskyttelse – og en af de letteste måder at hæve dit sikkerhedsniveau betydeligt.
Moderne hjemmesider bygger i høj grad på JavaScript-biblioteker og frameworks som jQuery, Bootstrap, Angular og React. Disse biblioteker sparer udviklingstid og giver avanceret funktionalitet – men når de ikke opdateres, kan de udgøre en alvorlig sikkerhedsrisiko.
Et af de mest udbredte eksempler er jQuery – især versioner før 3.0 – som indeholder flere kendte sårbarheder, blandt andet i relation til DOM-manipulation, XSS og usikre metoder. Angribere ved præcis, hvilke versioner der er sårbare, og hvordan de kan udnyttes.
Ældre biblioteker er ofte offentligt dokumenterede som sårbare. Databaser som CVE (Common Vulnerabilities and Exposures) beskriver præcist, hvad angribere kan gøre med dem.
De fleste sårbarheder bliver aldrig opdaget af brugeren, før det er for sent. Der er sjældent nogen synlige tegn på, at der er blevet manipuleret med siden.
Selv biblioteker du ikke længere bruger aktivt, kan være inkluderet i din kode og udnyttes af angribere.
At køre med forældede biblioteker svarer til at have en ulåst bagdør. Det kan føre til:
Mange sårbarheder bliver først udnyttet lang tid efter, de er blevet kendt – netop fordi udviklere ofte glemmer at opdatere gamle komponenter. Derfor er det en udbredt og undervurderet risiko.
Når du scanner en URL hos os, analyserer vi automatisk de indlæste JavaScript-filer og identificerer, om kendte biblioteker som jQuery, Angular, React, Vue, Lodash og andre er forældede og sårbare.
Vi giver dig ikke bare en advarsel – men også en klar anbefaling til, hvilken version du bør opdatere til, og hvorfor.
Undgå at blive et nemt mål. Hold dine biblioteker opdateret – og dine brugere trygge.
En af de mest effektive, men ofte oversete, sikkerhedsforanstaltninger på moderne hjemmesider er en korrekt konfigureret Content Security Policy (CSP). Uden en CSP er din hjemmeside langt mere sårbar over for Cross-Site Scripting (XSS) og andre former for kodeinjektion, som kan kompromittere både data og brugeroplevelse.
CSP er en sikkerhedsheader, der fortæller browseren, hvilke typer indhold der må indlæses – og hvorfra. Du kan fx definere, at scripts kun må komme fra dine egne domæner, at inline JavaScript ikke må køre, og at tredjepartsindhold skal begrænses.
Uden denne politik har en angriber langt lettere ved at:
Med andre ord: En manglende CSP gør det meget nemmere at udnytte selv små XSS-sårbarheder – fx i formularer, kommentarfelter eller URL-parametre.
Mange udviklere springer CSP over, fordi det virker teknisk komplekst eller kan forstyrre tredjepartsintegrationer som reklamer, widgets og eksterne scripts. Men med moderne værktøjer og en grundig testfase er det muligt at implementere en sikker og fleksibel politik uden at gå på kompromis med funktionalitet.
Vores scanner identificerer hurtigt, om din hjemmeside har en aktiv Content Security Policy – og hvis ikke, får du en advarsel med anbefalinger til, hvordan du kan komme i gang.
Vi analyserer også eksisterende CSP-politikker og fortæller dig, om de er for svage, for brede eller mangler vigtige direktiver.
Med en korrekt CSP reducerer du risikoen for XSS-angreb markant – og gør din hjemmeside langt mere robust over for fremtidige trusler.
Sikker hjemmeside verificeret af 24i.dk © 2025 | Kontakt: kontakt@24i.dk
