Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

सुरक्षाविषयक ठळक बातम्यांचे मोफत विश्लेषण

माहिती

सुरक्षा शीर्षकांचे मोफत विश्लेषण

सिक्युरिटी हेडर्स हे HTTP रिस्पॉन्स हेडर्स आहेत जे तुमचा वेब सर्व्हर तुमच्या ब्राउझरला पाठवतो, आणि ते तुमच्या साइटला विविध प्रकारच्या हल्ल्यांपासून वाचवतात. हे मोफत टूल तुम्ही एंटर केलेल्या URL मधील सहा महत्त्वाच्या सिक्युरिटी हेडर्ससाठी सर्व्हरला क्वेरी करते; ते प्रत्येकाची उपस्थिती, मूल्य आणि एक छोटी शिफारस दर्शवते, आणि नंतर A+ ते F पर्यंत एकंदर सुरक्षा रेटिंग देते.

विश्लेषण केलेले विषय खालीलप्रमाणे आहेत: कडक-वाहतूक-सुरक्षा (HSTS) त्यामुळे साइट फक्त HTTPS द्वारेच ॲक्सेस करता येते; सामग्री-सुरक्षा-धोरण (CSP) कोणते संसाधने लोड केली जाऊ शकतात हे परिभाषित करून ते XSS हल्ल्यांना प्रतिबंध करते; एक्स-फ्रेम-पर्याय हे तुमच्या साइटला इतर साइट्सच्या आयफ्रेममध्ये प्रदर्शित होण्यापासून प्रतिबंधित करून क्लिकजॅकिंगपासून संरक्षण करते; एक्स-कंटेंट-टाइप-ऑप्शन्स हे MIME प्रकाराचा अंदाज अक्षम करते; रेफरर पॉलिसी अभ्यागताची कोणती संदर्भ माहिती तृतीय पक्षांसोबत सामायिक करायची हे ते नियंत्रित करते; परवानगी धोरण हे कॅमेरा, मायक्रोफोन आणि लोकेशन यांसारख्या ब्राउझर वैशिष्ट्यांच्या वापरावर निर्बंध घालते.

हे हेडर जोडल्याने तुमची साइट XSS, क्लिकजॅकिंग, MIME स्निफिंग, डेटा गळती आणि अनधिकृत API ऍक्सेस यांसारख्या सामान्य वेब सुरक्षा त्रुटींविरुद्ध अधिक सुरक्षित बनते. परिणाम आमच्या सर्व्हरद्वारे रिअल-टाइममध्ये मिळवले जातात; सुरक्षेच्या कारणास्तव स्थानिक आणि खाजगी नेटवर्क पत्ते ब्लॉक केले जातात.

त्याचा वापर कसा करायचा?

टप्प्याटप्प्याने

तुम्ही तपासू इच्छित असलेल्या साइटचा पत्ता https://example.com ते या फॉरमॅटमध्ये प्रविष्ट करा.
विश्लेषण करा बटणावर क्लिक करा; आमचा सर्वर तुमच्या साइटवर एक विनंती पाठवेल.
प्रत्येक सुरक्षा हेल्मेटसाठी वर्तमान (हिरवा) किंवा गहाळ (लाल) स्थिती आणि एक संक्षिप्त सूचना दाखवली जाते.
पानाच्या सर्वात वर सर्वसाधारण सुरक्षा सूचना (A+ ते F पर्यंतचे ग्रेड दाखवले जातात; तुमच्या सर्व्हर कॉन्फिगरेशनमध्ये गहाळ शीर्षके जोडून तुम्ही तुमचा ग्रेड सुधारू शकता.)
विद्यमान शीर्षकांचे मूल्य प्रत तुम्ही बटणाचा वापर करून ते तुमच्या क्लिपबोर्डवर जोडू शकता.

वारंवार विचारले जाणारे प्रश्न (FAQ)

वारंवार विचारले जाणारे प्रश्न

सिक्युरिटी हेडर्स ब्राउझरला तुमची साइट कशी हाताळावी हे सांगतात. योग्यरित्या कॉन्फिगर केल्यावर, ते XSS (क्रॉस-साइट स्क्रिप्टिंग), क्लिकजॅकिंग, MIME स्निफिंग, रेफरर माहितीची गळती आणि ब्राउझरच्या वैशिष्ट्यांमध्ये अनधिकृत प्रवेश यांसारख्या सामान्य हल्ल्यांविरुद्ध एक प्रभावी संरक्षण स्तर तयार करतात.

हे साधन ६ महत्त्वपूर्ण शीर्षके तपासते: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, आणि Permissions-Policy. जर हे सर्व उपस्थित असतील आणि प्रतिसाद यशस्वी असेल, तर A+ श्रेणी दिली जाते.

अपाचे सर्व्हरवर मॉड_हेडर्स सोबत .htaccess किंवा httpd.conf फाईलला हेडर सेट तुम्ही Nginx मध्ये डायरेक्टिव्ह जोडू शकता. शीर्षलेख जोडा खालील निर्देश वापरला जातो. वर्डप्रेससाठी सुरक्षा प्लगइन किंवा .htaccess ही व्यवस्था पुरेशी आहे.

कंटेंट-सिक्युरिटी-पॉलिसी हे ठरवते की कोणते डोमेन आणि स्रोत स्क्रिप्ट्स, स्टाइल्स, इमेजेस इत्यादी अपलोड करू शकतात. चुकीच्या कॉन्फिगरेशनमुळे साइटमध्ये बिघाड होऊ शकतो; म्हणून, सर्वप्रथम... सामग्री-सुरक्षा-धोरण-अहवाल-केवळ शीर्षकासह रिपोर्टिंग मोडमध्ये चाचणी करण्याची शिफारस केली जाते.

काही सर्व्हर बॉट विनंत्या ब्लॉक करू शकतात, खूप हळू प्रतिसाद देऊ शकतात आणि टाइम आउट होऊ शकतात, किंवा अवैध SSL प्रमाणपत्रे वापरू शकतात. तसेच, सुरक्षेच्या कारणास्तव, स्थानिक नेटवर्क आणि खाजगी IP पत्त्यांवर (localhost, 192.168.x, इत्यादी) क्वेरी केल्या जाऊ शकत नाहीत.

सुरक्षा शीर्षकांचे मोफत विश्लेषण

सुरक्षा शीर्षकांचे मोफत विश्लेषण

टप्प्याटप्प्याने

वारंवार विचारले जाणारे प्रश्न

सुरक्षा हेल्मेट महत्त्वाचे का आहेत?

A+ ग्रेड मिळवण्यासाठी कोणते विषय पूर्णपणे उत्तीर्ण होणे आवश्यक आहे?

मी शीर्षके कशी जोडू शकेन?

CSP हेडर इतका क्लिष्ट का असतो?

काही वेबसाइट्सवर मला निकाल का मिळत नाहीत?