Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Analyse gratuite des actualités sécurité

Informations

Analyse gratuite des titres de sécurité

Les en-têtes de sécurité sont des en-têtes de réponse HTTP que votre serveur web envoie à votre navigateur, protégeant ainsi votre site contre différents types d'attaques. Cet outil gratuit interroge le serveur pour vérifier la présence de six en-têtes de sécurité critiques dans l'URL que vous saisissez ; il indique pour chacun leur présence, leur valeur et une brève recommandation, puis attribue une note de sécurité globale allant de A+ à F.

Les sujets analysés sont les suivants : Sécurité stricte des transports (HSTS) Cela rend le site accessible uniquement via HTTPS ; Politique de sécurité du contenu (CSP) Il empêche les attaques XSS en définissant quelles ressources peuvent être chargées ; Options du cadre X Il protège contre le détournement de clic en empêchant l'affichage de votre site dans les iframes d'autres sites ; X-Content-Type-Options Il désactive la prédiction du type MIME ; Politique de parrainage Il contrôle quelles informations relatives aux visiteurs référents sont partagées avec des tiers ; Politique d'autorisation Il restreint l'accès aux fonctionnalités du navigateur telles que la caméra, le microphone et la géolocalisation.

L'ajout de ces en-têtes renforce considérablement la sécurité de votre site face aux vulnérabilités web courantes telles que les attaques XSS, le détournement de clic, l'interception de données MIME, les fuites de données et les accès non autorisés aux API. Les résultats sont interrogés en temps réel via notre serveur ; les adresses réseau locales et privées sont bloquées pour des raisons de sécurité.

Comment l'utiliser ?

Pas à pas

L'adresse du site que vous souhaitez consulter https://example.com Saisissez-le dans ce format.
Analyser Cliquez sur le bouton ; notre serveur enverra une requête à votre site.
Pour chaque casque de sécurité courant (vert) ou manquant (rouge) L'état et une brève suggestion s'affichent.
En haut de la page note générale de sécurité (Les notes affichées vont de A+ à F ; vous pouvez améliorer votre note en ajoutant les rubriques manquantes à la configuration de votre serveur.)
La valeur des titres existants copie Vous pouvez l'ajouter à votre presse-papiers à l'aide du bouton.

FAQ

Foire aux questions

Les en-têtes de sécurité indiquent au navigateur comment traiter votre site. Correctement configurés, ils constituent une protection efficace contre les attaques courantes telles que les attaques XSS (cross-site scripting), le détournement de clic, l'interception des données MIME, la fuite d'informations de référent et l'accès non autorisé aux fonctionnalités du navigateur.

Cet outil vérifie six en-têtes critiques : Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Si tous sont présents et que la réponse est positive, la note A+ est attribuée.

Sur les serveurs Apache mod_headers avec .htaccess ou httpd.conf au fichier Ensemble d'en-tête Vous pouvez ajouter des directives dans Nginx. ajouter_en-tête La directive suivante est utilisée. Plugins de sécurité pour WordPress ou .htaccess Cette configuration est suffisante.

La politique de sécurité du contenu (CSP) définit les domaines et les sources autorisés à télécharger des scripts, des styles, des images, etc. Une configuration incorrecte peut rendre le site inaccessible ; il est donc important de commencer par… Rapport de politique de sécurité du contenu uniquement Il est recommandé de tester en mode rapport avec le titre.

Certains serveurs peuvent bloquer les requêtes des robots, répondre très lentement et expirer, ou utiliser des certificats SSL invalides. De plus, pour des raisons de sécurité, les requêtes ne peuvent pas être effectuées vers le réseau local ni vers des adresses IP privées (localhost, 192.168.x, etc.).

Analyse gratuite des titres de sécurité

Analyse gratuite des titres de sécurité

Pas à pas

Foire aux questions

Pourquoi les casques de sécurité sont-ils importants ?

Quelles sont les matières qu'il faut réussir intégralement pour obtenir la note A+ ?

Comment puis-je ajouter des titres ?

Pourquoi l'en-tête CSP est-il si complexe ?

Pourquoi est-ce que je n'obtiens pas de résultats sur certains sites web ?