Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Análisis gratuito de noticias de seguridad

Información

Análisis gratuito de encabezados de seguridad

Los encabezados de seguridad son encabezados de respuesta HTTP que su servidor web envía a su navegador, protegiendo su sitio de diversos tipos de ataques. Esta herramienta gratuita consulta al servidor en busca de seis encabezados de seguridad críticos en la URL que usted ingrese; muestra la presencia, el valor y una breve recomendación para cada uno, y luego proporciona una calificación de seguridad general de A+ a F.

Los temas analizados son los siguientes: Sistema de seguridad de transporte estricto (HSTS) Esto hace que el sitio sea accesible únicamente a través de HTTPS; Política de seguridad de contenido (CSP) Previene los ataques XSS al definir qué recursos se pueden cargar; Opciones de marco X Protege contra el clickjacking impidiendo que tu sitio se muestre en los iframes de otros sitios. X-Content-Type-Options Desactiva la predicción de tipos MIME; Política de referencias Controla qué información sobre la procedencia del visitante se comparte con terceros; Política de permisos Restringe el acceso a funciones del navegador como la cámara, el micrófono y la ubicación.

Agregar estos encabezados hace que su sitio sea mucho más resistente a las vulnerabilidades comunes de seguridad web, como XSS, clickjacking, MIME sniffing, fugas de datos y acceso no autorizado a la API. Los resultados se consultan en tiempo real a través de nuestro servidor; las direcciones de red locales y privadas están bloqueadas por motivos de seguridad.

¿Cómo usarlo?

Paso a paso

La dirección del sitio que desea consultar https://example.com Introdúzcalo en este formato.
Analizar Haz clic en el botón; nuestro servidor enviará una solicitud a tu sitio web.
Por cada casco de seguridad corriente (verde) o faltante (rojo) Se muestra el estado y una breve sugerencia.
En la parte superior de la página nota de seguridad general (Se muestran calificaciones que van de A+ a F; puedes mejorar tu calificación agregando los encabezados que faltan a la configuración de tu servidor).
El valor de los títulos existentes Copiar Puedes agregarlo al portapapeles usando el botón.

Preguntas frecuentes

Los encabezados de seguridad le indican al navegador cómo gestionar su sitio web. Cuando están configurados correctamente, crean una capa de defensa eficaz contra ataques comunes como XSS (cross-site scripting), clickjacking, MIME sniffing, fuga de información de referencia y acceso no autorizado a funciones del navegador.

Esta herramienta verifica seis encabezados críticos: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Si todos están presentes y la respuesta es exitosa, se otorga una calificación A+.

En servidores Apache mod_headers con .htaccess o httpd.conf al archivo Conjunto de encabezados Puedes añadir directivas en Nginx. agregar_encabezado Se utiliza la siguiente directiva. Complementos de seguridad para WordPress o .htaccess Este arreglo es suficiente.

La política de seguridad de contenido define qué dominios y fuentes pueden cargar scripts, estilos, imágenes, etc. Una configuración incorrecta puede dañar el sitio; por lo tanto, es importante... Política de seguridad de contenido: solo informe Se recomienda realizar la prueba en modo informe con el título.

Algunos servidores pueden bloquear las solicitudes de bots, responder muy lentamente y agotar el tiempo de espera, o utilizar certificados SSL no válidos. Además, por motivos de seguridad, no se pueden realizar consultas a direcciones de red local ni a direcciones IP privadas (localhost, 192.168.x, etc.).

Análisis gratuito de encabezados de seguridad

Análisis gratuito de encabezados de seguridad

Paso a paso

Preguntas frecuentes

¿Por qué son importantes los cascos de seguridad?

¿Qué asignaturas hay que aprobar en su totalidad para obtener la calificación A+?

¿Cómo puedo añadir encabezados?

¿Por qué es tan complejo el encabezado CSP?

¿Por qué no obtengo resultados en algunos sitios web?