Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Tajuk Utama Keselamatan Analisis Percuma

Maklumat

Analisis Percuma Tajuk Keselamatan

Pengepala keselamatan ialah pengepala respons HTTP yang dihantar oleh pelayan web anda ke pelayar anda, melindungi tapak anda daripada pelbagai jenis serangan. Alat percuma ini menanyakan pelayan untuk enam pengepala keselamatan kritikal dalam URL yang anda masukkan; ia menyenaraikan kehadiran, nilai dan cadangan ringkas untuk setiap satu, kemudian memberikan penarafan keselamatan keseluruhan dari A+ hingga F.

Topik-topik yang dianalisis adalah seperti berikut: Keselamatan Pengangkutan Ketat (HSTS) Ia menjadikan laman web ini hanya boleh diakses melalui HTTPS; Dasar Keselamatan Kandungan (CSP) Ia menghalang serangan XSS dengan menentukan sumber mana yang boleh dimuatkan; Pilihan-X-Frame Ia melindungi daripada clickjacking dengan menghalang laman web anda daripada dipaparkan dalam iframe laman web lain; Pilihan Jenis-Kandungan X Ia melumpuhkan ramalan jenis MIME; Dasar Perujuk Ia mengawal maklumat perujuk pelawat yang dikongsi dengan pihak ketiga; Dasar Kebenaran Ia menyekat akses kepada ciri pelayar seperti kamera, mikrofon dan lokasi.

Menambah pengepala ini menjadikan laman web anda lebih berdaya tahan terhadap kelemahan keselamatan web biasa seperti XSS, clickjacking, MIME sniffing, kebocoran data dan akses API yang tidak dibenarkan. Keputusan akan ditanya dalam masa nyata melalui pelayan kami; alamat rangkaian tempatan dan persendirian disekat atas sebab keselamatan.

Bagaimana untuk menggunakannya?

Langkah demi langkah

Alamat tapak yang ingin anda semak https://example.com Masukkannya dalam format ini.
Analisis Klik butang tersebut; pelayan kami akan menghantar permintaan ke laman web anda.
Untuk setiap topi keledar keselamatan semasa (hijau) atau hilang (merah) Status dan cadangan ringkas dipaparkan.
Di bahagian atas halaman nota keselamatan am (Gred antara A+ hingga F dipaparkan; anda boleh meningkatkan gred anda dengan menambah tajuk yang hilang pada konfigurasi pelayan anda.)
Nilai tajuk sedia ada salinan Anda boleh menambahkannya ke papan keratan anda menggunakan butang tersebut.

FAQ

Soalan Lazim

Pengepala keselamatan memberitahu pelayar cara mengendalikan laman web anda. Apabila dikonfigurasikan dengan betul, ia mewujudkan lapisan pertahanan yang berkesan terhadap serangan biasa seperti XSS (skrip silang tapak), clickjacking, MIME sniffing, kebocoran maklumat perujuk dan akses ciri pelayar tanpa kebenaran.

Alat ini menyemak 6 tajuk kritikal: Keselamatan-Pengangkutan-Ketat, Dasar-Keselamatan-Kandungan, Pilihan-X-Frame, Pilihan-X-Jenis-Kandungan, Dasar-Perujuk dan Dasar-Kebenaran. Jika semuanya hadir dan respons berjaya, gred A+ akan diberikan.

Pada pelayan Apache pengepala_mod dengan .htaccess atau httpd.conf ke fail Set pengepala Anda boleh menambah arahan dalam Nginx. tambah_pengepala Arahan berikut digunakan. Plugin keselamatan untuk WordPress atau .htaccess Susunan ini sudah memadai.

Dasar-Keselamatan-Kandungan menentukan domain dan sumber mana yang boleh memuat naik skrip, gaya, imej, dsb. Konfigurasi yang salah boleh merosakkan tapak; oleh itu, adalah penting untuk terlebih dahulu... Laporan Dasar-Keselamatan-Kandungan-Sahaja Adalah disyorkan untuk menguji dalam mod pelaporan dengan tajuk.

Sesetengah pelayan mungkin menyekat permintaan bot, bertindak balas dengan sangat perlahan dan tamat masa, atau menggunakan sijil SSL yang tidak sah. Selain itu, atas sebab keselamatan, pertanyaan tidak boleh dibuat kepada rangkaian tempatan dan alamat IP peribadi (localhost, 192.168.x, dll.).

Analisis Percuma Tajuk Keselamatan

Analisis Percuma Tajuk Keselamatan

Langkah demi langkah

Soalan Lazim

Mengapakah topi keledar keselamatan penting?

Mata pelajaran manakah yang mesti lulus sepenuhnya untuk mendapat gred A+?

Bagaimanakah saya boleh menambah tajuk?

Mengapakah pengepala CSP begitu rumit?

Mengapa saya tidak mendapat hasil di sesetengah laman web?