Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Tietoturvaotsikoiden ilmainen analyysi

Tieto

Suojausotsikoiden ilmainen analyysi

Suojausotsikot ovat HTTP-vastausotsikoita, jotka verkkopalvelimesi lähettää selaimeesi ja suojaa sivustoasi erilaisilta hyökkäyksiltä. Tämä ilmainen työkalu kyselee palvelimelta kuutta kriittistä suojausotsikkoa antamastasi URL-osoitteesta. Se listaa kunkin olemassaolon, arvon ja lyhyen suosituksen ja antaa sitten yleisen suojausluokituksen A+:sta F:ään.

Analysoidut aiheet ovat seuraavat: Tiukka kuljetusturvallisuus (HSTS) Se tekee sivustosta saatavilla vain HTTPS:n kautta; Sisällön suojauskäytäntö (CSP) Se estää XSS-hyökkäykset määrittämällä, mitkä resurssit voidaan ladata; X-Frame-vaihtoehdot Se suojaa klikkikaappauselta estämällä sivustoasi näkymästä muiden sivustojen iframe-kehyksissä; X-Content-Type-Asetukset Se poistaa MIME-tyypin ennustamisen käytöstä; Viittaajakäytäntö Se hallitsee, mitä kävijöiden viittaustietoja jaetaan kolmansien osapuolten kanssa; Käyttöoikeuskäytäntö Se rajoittaa pääsyä selaimen ominaisuuksiin, kuten kameraan, mikrofoniin ja sijaintiin.

Näiden otsikoiden lisääminen tekee sivustostasi paljon kestävämmän yleisiä verkkotietoturvahaavoittuvuuksia, kuten XSS:ää, klikkikaappaushyökkäyksiä, MIME-nuuskintaa, tietovuotoja ja luvatonta API-käyttöä vastaan. Tulokset haetaan reaaliajassa palvelimemme kautta; paikalliset ja yksityiset verkko-osoitteet estetään turvallisuussyistä.

Kuinka sitä käytetään?

Askel askeleelta

Tarkistettavan sivuston osoite https://example.com Syötä se tässä muodossa.
Analysoida Napsauta painiketta; palvelimemme lähettää pyynnön sivustollesi.
Jokaiselle suojakypärälle virta (vihreä) tai puuttuu (punainen) Tila ja lyhyt ehdotus näytetään.
Sivun yläreunassa yleinen turvallisuushuomautus (Näytetään arvosanat A+:sta F:ään; voit parantaa arvosanaasi lisäämällä puuttuvat otsikot palvelimesi määrityksiin.)
Olemassa olevien nimikkeiden arvo kopioida Voit lisätä sen leikepöydälle painikkeella.

UKK

Usein kysytyt kysymykset

Suojausotsikot kertovat selaimelle, miten sivustoasi käsitellään. Oikein määritettyinä ne luovat tehokkaan puolustuskerroksen yleisiä hyökkäyksiä, kuten XSS:ää (cross-site scripting), klikkikaappaus, MIME-nuuskinta, viittaajasivun tietojen vuotaminen ja luvaton selainominaisuuksien käyttö, vastaan.

Tämä työkalu tarkistaa kuusi kriittistä otsikkoa: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ja Permissions-Policy. Jos kaikki ovat läsnä ja vastaus on onnistunut, myönnetään arvosana A+.

Apache-palvelimilla mod_headers kanssa .htaccess tai httpd.conf tiedostoon Ylätunnistesarja Voit lisätä direktiivejä Nginxissä. lisäysotsikko Seuraavaa direktiiviä käytetään. WordPressin tai muiden WordPress-laitteiden tietoturvalisäosat .htaccess Tämä järjestely riittää.

Content-Security-Policy määrittää, mitkä verkkotunnukset ja lähteet voivat ladata skriptejä, tyylejä, kuvia jne. Väärä määritys voi rikkoa sivuston; siksi on tärkeää ensin... Vain sisällön tietoturvakäytäntöraportti On suositeltavaa testata raportointitilassa otsikon kanssa.

Jotkin palvelimet saattavat estää bottipyyntöjä, vastata hyvin hitaasti ja aikakatkaista vastaukset tai käyttää virheellisiä SSL-varmenteita. Lisäksi turvallisuussyistä kyselyitä ei voida tehdä lähiverkkoon ja yksityisiin IP-osoitteisiin (localhost, 192.168.x jne.).

Suojausotsikoiden ilmainen analyysi

Suojausotsikoiden ilmainen analyysi

Askel askeleelta

Usein kysytyt kysymykset

Miksi turvakypärät ovat tärkeitä?

Mitkä aineet on läpäistävä kokonaan, jotta saa arvosanan A+?

Miten voin lisätä otsikoita?

Miksi CSP-otsikko on niin monimutkainen?

Miksi en saa tuloksia joillakin verkkosivustoilla?