Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Analisi gratuita delle principali notizie di sicurezza

Informazioni

Analisi gratuita delle intestazioni di sicurezza

Le intestazioni di sicurezza sono intestazioni di risposta HTTP che il server web invia al browser, proteggendo il sito da vari tipi di attacchi. Questo strumento gratuito interroga il server alla ricerca di sei intestazioni di sicurezza critiche nell'URL inserito; elenca la presenza, il valore e una breve raccomandazione per ciascuna, quindi assegna un punteggio di sicurezza complessivo da A+ a F.

Gli argomenti analizzati sono i seguenti: Sicurezza rigorosa dei trasporti (HSTS) Rende il sito accessibile solo tramite HTTPS; Politica di sicurezza dei contenuti (CSP) Previene gli attacchi XSS definendo quali risorse possono essere caricate; Opzioni X-Frame Protegge dal clickjacking impedendo che il tuo sito venga visualizzato negli iframe di altri siti; X-Content-Type-Options Disabilita la predizione del tipo MIME; Politica di segnalazione Controlla quali informazioni relative al visitatore di riferimento vengono condivise con terze parti; Politica sulle autorizzazioni Limita l'accesso alle funzionalità del browser come fotocamera, microfono e posizione.

L'aggiunta di queste intestazioni rende il tuo sito molto più resistente alle comuni vulnerabilità di sicurezza web come XSS, clickjacking, MIME sniffing, perdita di dati e accesso non autorizzato alle API. I risultati vengono interrogati in tempo reale tramite il nostro server; gli indirizzi di rete locali e privati sono bloccati per motivi di sicurezza.

Come si usa?

Passo dopo passo

L'indirizzo del sito che vuoi controllare https://example.com Inseriscilo in questo formato.
Analizzare Fai clic sul pulsante; il nostro server invierà una richiesta al tuo sito.
Per ogni casco di sicurezza corrente (verde) O mancante (rosso) Vengono visualizzati lo stato e un breve suggerimento.
In cima alla pagina nota generale sulla sicurezza (Vengono visualizzati i voti da A+ a F; è possibile migliorare il proprio voto aggiungendo le sezioni mancanti alla configurazione del server.)
Il valore dei titoli esistenti copia È possibile aggiungerlo agli appunti utilizzando il pulsante.

FAQ

Domande frequenti

Le intestazioni di sicurezza indicano al browser come gestire il tuo sito. Se configurate correttamente, creano un efficace livello di difesa contro attacchi comuni come XSS (cross-site scripting), clickjacking, MIME sniffing, fuga di informazioni sul referrer e accesso non autorizzato alle funzionalità del browser.

Questo strumento verifica 6 voci critiche: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Se tutte sono presenti e la risposta è corretta, viene assegnato un voto A+.

Sui server di Apache intestazioni mod con .htaccess O httpd.conf al file Set di intestazioni È possibile aggiungere direttive in Nginx. aggiungi_intestazione Viene utilizzata la seguente direttiva. Plugin di sicurezza per WordPress o .htaccess Questa disposizione è sufficiente.

La Content Security Policy definisce quali domini e fonti possono caricare script, stili, immagini, ecc. Una configurazione errata può compromettere il sito; pertanto, è importante innanzitutto... Report sulla politica di sicurezza dei contenuti (solo report) Si consiglia di eseguire il test in modalità di segnalazione con il titolo.

Alcuni server potrebbero bloccare le richieste dei bot, rispondere molto lentamente e andare in timeout, oppure utilizzare certificati SSL non validi. Inoltre, per motivi di sicurezza, non è possibile effettuare query verso indirizzi IP privati e di rete locale (localhost, 192.168.x, ecc.).

Analisi gratuita delle intestazioni di sicurezza

Analisi gratuita delle intestazioni di sicurezza

Passo dopo passo

Domande frequenti

Perché i caschi di sicurezza sono importanti?

Quali materie è necessario superare completamente per ottenere un voto A+?

Come posso aggiungere delle intestazioni?

Perché l'intestazione CSP è così complessa?

Perché non ottengo risultati su alcuni siti web?