Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Biztonsági hírek Ingyenes elemzés

Információ

Biztonsági címsorok ingyenes elemzése

A biztonsági fejlécek HTTP válaszfejlécek, amelyeket a webszerver küld a böngészőjének, és amelyek megvédik webhelyét a különféle támadásoktól. Ez az ingyenes eszköz hat kritikus biztonsági fejlécet kérdez le a szervertől a megadott URL-ben; felsorolja mindegyik meglétét, értékét és egy rövid ajánlást, majd A+-tól F-ig terjedő általános biztonsági besorolást ad.

Az elemzett témák a következők: Szigorú szállításbiztonság (HSTS) Csak HTTPS-en keresztül teszi elérhetővé az oldalt; Tartalombiztonsági szabályzat (CSP) Megakadályozza az XSS támadásokat azáltal, hogy meghatározza, mely erőforrások tölthetők be; X-Frame-Opciók Védi a kattintáseltérítést azáltal, hogy megakadályozza, hogy webhelyed más webhelyek iframe-jeiben jelenjen meg; X-Content-Type-Options Letiltja a MIME típuspredikciót; Hivatkozói szabályzat Ez szabályozza, hogy mely látogatói hivatkozói információkat osztják meg harmadik felekkel; Engedélyezési szabályzat Korlátozza a böngésző funkcióihoz, például a kamerához, a mikrofonhoz és a helyadatokhoz való hozzáférést.

Ezen fejlécek hozzáadásával webhelye sokkal ellenállóbbá válik az olyan gyakori webes biztonsági résekkel szemben, mint az XSS, a kattintáseltérítés, a MIME-szivárgás, az adatszivárgás és a jogosulatlan API-hozzáférés. Az eredményeket valós időben kérdezzük le szerverünkön keresztül; a helyi és privát hálózati címeket biztonsági okokból blokkoljuk.

Hogyan kell használni?

Lépésről lépésre

Az ellenőrizni kívánt webhely címe https://example.com Ebben a formátumban add meg.
Elemzés Kattintson a gombra; a szerverünk kérést küld az Ön webhelyére.
Minden egyes védősisakhoz áram (zöld) vagy hiányzik (piros) Megjelenik az állapot és egy rövid javaslat.
Az oldal tetején általános biztonsági megjegyzés (A+-tól F-ig terjedő osztályzatok jelennek meg; javíthatja az osztályzatát a hiányzó címsorok hozzáadásával a szerver konfigurációjához.)
A meglévő címek értéke másolat A gombbal hozzáadhatod a vágólaphoz.

GYIK

Gyakran ismételt kérdések

A biztonsági fejlécek megmondják a böngészőnek, hogyan kezelje az oldaladat. Megfelelő konfigurálás esetén hatékony védelmi réteget hoznak létre az olyan gyakori támadások ellen, mint az XSS (cross-site scripting), a clickjacking, a MIME sniffing, a hivatkozói információk kiszivárgása és a jogosulatlan böngészőfunkció-hozzáférés.

Ez az eszköz 6 kritikus címsort ellenőriz: Strict-Transport-Security (Szigetátviteli Biztonság), Content-Security-Policy (Tartalombiztonsági Szabályzat), X-Frame-Options (X-Frame-Opciók), X-Content-Type-Options (X-Tartalomtípus-Opciók), Referrer-Policy (Hivatkozó Szabályzat) és Permissions-Policy (Engedélyezési Szabályzat). Ha mindegyik jelen van, és a válasz sikeres, akkor A+ osztályzatot kap.

Apache szervereken mod_fejlécek -vel .htaccess vagy httpd.conf a fájlhoz Fejléckészlet Az Nginxben direktívákat adhatsz hozzá. fejléc hozzáadása A következő direktívát használjuk. Biztonsági bővítmények WordPresshez vagy .htaccess Ez az elrendezés elegendő.

A Content-Security-Policy határozza meg, hogy mely domainek és források tölthetnek fel szkripteket, stílusokat, képeket stb. A helytelen konfiguráció tönkreteheti az oldalt; ezért fontos először... Csak tartalombiztonsági irányelvek jelentése Javasolt jelentéskészítési módban tesztelni a címmel.

Egyes szerverek blokkolhatják a botkéréseket, nagyon lassan válaszolhatnak és időtúllépést okozhatnak, vagy érvénytelen SSL-tanúsítványokat használhatnak. Biztonsági okokból a helyi hálózatra és a privát IP-címekre (localhost, 192.168.x stb.) nem lehet lekérdezéseket kezdeményezni.

Biztonsági címsorok ingyenes elemzése

Biztonsági címsorok ingyenes elemzése

Lépésről lépésre

Gyakran ismételt kérdések

Miért fontosak a védősisakok?

Mely tantárgyakból kell teljes vizsgát tenni ahhoz, hogy A+ osztályzatot kapjak?

Hogyan adhatok hozzá címsorokat?

Miért olyan bonyolult a CSP fejléc?

Miért nem kapok találatokat egyes weboldalakon?