Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

تحليل مجاني لعناوين الأخبار الأمنية

معلومات

تحليل مجاني لرؤوس الأمان

رؤوس الأمان هي رؤوس استجابة HTTP التي يرسلها خادم الويب إلى متصفحك، لحماية موقعك من أنواع مختلفة من الهجمات. تستعلم هذه الأداة المجانية من الخادم عن ستة رؤوس أمان أساسية في عنوان URL الذي تدخله؛ وتُدرج وجود كل رأس وقيمته وتوصية موجزة له، ثم تُعطي تقييمًا أمنيًا شاملًا من A+ إلى F.

المواضيع التي تم تحليلها هي كالتالي: أمن النقل الصارم (HSTS) يجعل ذلك الموقع متاحًا فقط عبر بروتوكول HTTPS؛ سياسة أمان المحتوى (CSP) يمنع هجمات XSS عن طريق تحديد الموارد التي يمكن تحميلها؛ خيارات الإطار X يحمي من عمليات الاحتيال عبر النقر عن طريق منع عرض موقعك في إطارات iframe الخاصة بمواقع أخرى؛ خيارات نوع المحتوى X يؤدي ذلك إلى تعطيل التنبؤ بنوع MIME؛ سياسة الإحالة يتحكم في معلومات الإحالة الخاصة بالزائر التي تتم مشاركتها مع أطراف ثالثة؛ سياسة الأذونات يقيد الوصول إلى ميزات المتصفح مثل الكاميرا والميكروفون والموقع.

تُعزز إضافة هذه الترويسات من مقاومة موقعك الإلكتروني لثغرات أمنية شائعة على الويب، مثل هجمات البرمجة النصية عبر المواقع (XSS)، وهجمات النقر الخادع، وهجمات استنشاق نوع MIME، وتسريب البيانات، والوصول غير المصرح به إلى واجهة برمجة التطبيقات (API). يتم الاستعلام عن النتائج في الوقت الفعلي عبر خادمنا؛ ويتم حظر عناوين الشبكة المحلية والخاصة لأسباب أمنية.

كيفية استخدامه؟

خطوة بخطوة

عنوان الموقع الذي تريد التحقق منه https://example.com أدخله بهذا الشكل.
تحليل انقر على الزر؛ سيرسل خادمنا طلبًا إلى موقعك.
لكل خوذة أمان التيار (الأخضر) أو مفقود (أحمر) يتم عرض الحالة واقتراح موجز.
في أعلى الصفحة ملاحظة عامة عن الطعام (يتم عرض الدرجات التي تتراوح من A+ إلى F؛ يمكنك تحسين درجتك عن طريق إضافة العناوين المفقودة إلى إعدادات الخادم الخاص بك.)
قيمة العناوين الحالية ينسخ يمكنك إضافته إلى الحافظة باستخدام الزر.

الأسئلة الشائعة

تُخبر رؤوس الأمان المتصفح بكيفية التعامل مع موقعك. وعند تهيئتها بشكل صحيح، فإنها تُنشئ طبقة دفاع فعّالة ضد الهجمات الشائعة مثل XSS (البرمجة النصية عبر المواقع)، وهجمات النقر الخادع، وتجسس MIME، وتسريب معلومات المُحيل، والوصول غير المصرح به إلى ميزات المتصفح.

تتحقق هذه الأداة من ستة عناوين أساسية: أمان النقل الصارم، وسياسة أمان المحتوى، وخيارات الإطار X، وخيارات نوع المحتوى X، وسياسة المُحيل، وسياسة الأذونات. إذا كانت جميعها موجودة وكانت الاستجابة ناجحة، يُمنح المستخدم درجة A+.

على خوادم أباتشي mod_headers مع .htaccess أو ملف httpd.conf إلى الملف مجموعة رأسية يمكنك إضافة توجيهات في Nginx. إضافة رأس الصفحة يتم استخدام التوجيه التالي. إضافات الأمان لـ WordPress أو .htaccess هذا الترتيب كافٍ.

تحدد سياسة أمان المحتوى النطاقات والمصادر التي يُسمح لها بتحميل البرامج النصية، والأنماط، والصور، وما إلى ذلك. قد يؤدي التكوين غير الصحيح إلى تعطيل الموقع؛ لذلك، من المهم أولاً... تقرير سياسة أمان المحتوى فقط يوصى بإجراء الاختبار في وضع إعداد التقارير مع العنوان.

قد تقوم بعض الخوادم بحظر طلبات البرامج الآلية، أو الاستجابة ببطء شديد، أو تجاوز مهلة الاتصال، أو استخدام شهادات SSL غير صالحة. كما أنه لأسباب أمنية، لا يمكن إجراء الاستعلامات إلى الشبكة المحلية وعناوين IP الخاصة (مثل localhost، 192.168.x، إلخ).

تحليل مجاني لرؤوس الأمان

تحليل مجاني لرؤوس الأمان

خطوة بخطوة

الأسئلة الشائعة

لماذا تعتبر خوذات الأمان مهمة؟

ما هي المواد التي يجب اجتيازها بالكامل للحصول على تقدير ممتاز (A+)؟

كيف يمكنني إضافة عناوين؟

لماذا يُعدّ رأس CSP معقدًا للغاية؟

لماذا لا أحصل على نتائج على بعض المواقع الإلكترونية؟