Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

تحلیل رایگان تیترهای امنیتی

اطلاعات

تحلیل رایگان سرفصل‌های امنیتی

هدرهای امنیتی، هدرهای پاسخ HTTP هستند که وب سرور شما به مرورگر شما ارسال می‌کند و سایت شما را از انواع مختلف حملات محافظت می‌کند. این ابزار رایگان، شش هدر امنیتی حیاتی را در URL که وارد می‌کنید، از سرور جستجو می‌کند؛ وجود، مقدار و یک توصیه کوتاه برای هر کدام را فهرست می‌کند، سپس یک رتبه امنیتی کلی از A+ تا F ارائه می‌دهد.

مباحث مورد بررسی به شرح زیر است: امنیت حمل و نقل سختگیرانه (HSTS) این باعث می‌شود سایت فقط از طریق HTTPS قابل دسترسی باشد؛ سیاست امنیتی محتوا (CSP) با تعریف اینکه کدام منابع می‌توانند بارگیری شوند، از حملات XSS جلوگیری می‌کند. گزینه‌های X-Frame با جلوگیری از نمایش سایت شما در iframe های سایت های دیگر، از کلیک دزدی جلوگیری می کند. گزینه‌های نوع محتوای X پیش‌بینی نوع MIME را غیرفعال می‌کند؛ سیاست ارجاع این کنترل می‌کند که کدام اطلاعات ارجاع‌دهنده بازدیدکننده با اشخاص ثالث به اشتراک گذاشته شود؛ سیاست مجوزها این دسترسی به ویژگی‌های مرورگر مانند دوربین، میکروفون و موقعیت مکانی را محدود می‌کند.

افزودن این هدرها، سایت شما را در برابر آسیب‌پذیری‌های امنیتی رایج وب مانند XSS، clickjacking، MIME sniffing، نشت داده‌ها و دسترسی غیرمجاز به API بسیار مقاوم‌تر می‌کند. نتایج به صورت بلادرنگ از طریق سرور ما بررسی می‌شوند؛ آدرس‌های شبکه محلی و خصوصی به دلایل امنیتی مسدود شده‌اند.

چگونه از آن استفاده کنیم؟

گام به گام

آدرس سایتی که می‌خواهید بررسی کنید https://example.com با این فرمت وارد کنید.
تحلیل روی دکمه کلیک کنید؛ سرور ما درخواستی را به سایت شما ارسال خواهد کرد.
به ازای هر کلاه ایمنی فعلی (سبز) یا گم شده (قرمز) وضعیت و یک پیشنهاد مختصر نمایش داده می‌شود.
در بالای صفحه یادداشت امنیتی عمومی (نمرات از A+ تا F نمایش داده می‌شوند؛ می‌توانید با اضافه کردن سرفصل‌های جا افتاده به پیکربندی سرور خود، نمره خود را بهبود بخشید.)
ارزش عناوین موجود کپی می‌توانید با استفاده از دکمه، آن را به کلیپ‌بورد خود اضافه کنید.

سوالات متداول

هدرهای امنیتی به مرورگر می‌گویند که چگونه سایت شما را مدیریت کند. وقتی به درستی پیکربندی شوند، یک لایه دفاعی مؤثر در برابر حملات رایج مانند XSS (اسکریپت نویسی بین سایتی)، کلیک دزدی، شنود MIME، نشت اطلاعات ارجاع دهنده و دسترسی غیرمجاز به ویژگی‌های مرورگر ایجاد می‌کنند.

این ابزار ۶ عنوان حیاتی را بررسی می‌کند: امنیت انتقال دقیق (Strict-Transport-Security)، سیاست امنیت محتوا (Content-Security-Policy)، گزینه‌های X-Frame، گزینه‌های نوع محتوای X، سیاست ارجاع (Referrer-Policy) و سیاست مجوزها (Permissions-Policy). اگر همه موارد موجود باشند و پاسخ موفقیت‌آمیز باشد، نمره A+ اعطا می‌شود.

روی سرورهای آپاچی هدرهای mod با .htaccess یا httpd.conf به فایل مجموعه هدر شما می‌توانید در Nginx دستورالعمل‌هایی اضافه کنید. اضافه کردن_هدر دستورالعمل زیر استفاده می‌شود. افزونه‌های امنیتی برای وردپرس یا .htaccess همین ترتیب کافی است.

سیاست امنیتی محتوا (Content-Security-Policy) تعریف می‌کند که کدام دامنه‌ها و منابع می‌توانند اسکریپت‌ها، استایل‌ها، تصاویر و غیره را آپلود کنند. پیکربندی نادرست می‌تواند سایت را از کار بیندازد؛ بنابراین، مهم است که ابتدا... سیاست امنیتی محتوا - فقط گزارش توصیه می‌شود در حالت گزارش‌دهی با عنوان، تست کنید.

برخی از سرورها ممکن است درخواست‌های ربات را مسدود کنند، بسیار کند پاسخ دهند و دچار وقفه زمانی شوند، یا از گواهینامه‌های SSL نامعتبر استفاده کنند. همچنین، به دلایل امنیتی، نمی‌توان پرس‌وجوهایی را به شبکه محلی و آدرس‌های IP خصوصی (localhost، 192.168.x و غیره) انجام داد.

تحلیل رایگان سرفصل‌های امنیتی

تحلیل رایگان سرفصل‌های امنیتی

گام به گام

سوالات متداول

چرا کلاه ایمنی مهم است؟

برای دریافت نمره A+ کدام دروس باید به طور کامل گذرانده شوند؟

چطور می‌توانم سرفصل‌ها را اضافه کنم؟

چرا هدر CSP اینقدر پیچیده است؟

چرا در بعضی از وب‌سایت‌ها نتیجه نمی‌گیرم؟