Für die Webserver der Internetauftritte werden 4 zusätzliche HTTP Header gesetzt:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload- Lässt den Aufruf der Seiten ausschließlich per HTTPS zu.X-Frame-Options: SAMEORIGIN- Verhindert, dass Seiten auf fremden Websites z.B. per iFrame eingebettet werden können, um Missbrauch zu vermeiden.X-Content-Type-Options: nosniff- Schutz vor MIME-Confusion-Attacken und unautorisiertem Hotlinking.Referrer-Policy: strict-origin-when-cross-origin- Als Referrer-Information wird die komplette URL weitergegeben, wenn die angefragte Webseite bzw. Ressource gleicher Herkunft ist, anderenfalls wird nur die Origin (z.B. https://example.org) gesetzt. Wird die angefragte Webseite nicht über HTTPS aufgerufen, wird keine Referrer-Information weitergegeben.