Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Análise gratuita das principais notícias de segurança

Informação

Análise gratuita de títulos de segurança

Os cabeçalhos de segurança são cabeçalhos de resposta HTTP que seu servidor web envia ao seu navegador, protegendo seu site contra vários tipos de ataques. Esta ferramenta gratuita consulta o servidor em busca de seis cabeçalhos de segurança críticos na URL que você inserir; ela lista a presença, o valor e uma breve recomendação para cada um, e então fornece uma classificação geral de segurança de A+ a F.

Os tópicos analisados são os seguintes: Segurança de Transporte Rigorosa (HSTS) Isso torna o site acessível apenas via HTTPS; Política de Segurança de Conteúdo (CSP) Ele impede ataques XSS definindo quais recursos podem ser carregados; Opções de quadro X Ele protege contra clickjacking, impedindo que seu site seja exibido em iframes de outros sites; X-Content-Type-Options Isso desativa a previsão do tipo MIME; Política de Referência Controla quais informações de referência do visitante são compartilhadas com terceiros; Política de permissões Isso restringe o acesso a recursos do navegador, como câmera, microfone e localização.

A adição desses cabeçalhos torna seu site muito mais resistente a vulnerabilidades comuns de segurança na web, como XSS, clickjacking, MIME sniffing, vazamento de dados e acesso não autorizado à API. Os resultados são consultados em tempo real por meio do nosso servidor; endereços de rede locais e privados são bloqueados por motivos de segurança.

Como usar?

Passo a passo

O endereço do site que você deseja verificar. https://example.com Insira neste formato.
Analisar Clique no botão; nosso servidor enviará uma solicitação ao seu site.
Para cada capacete de segurança atual (verde) ou ausente (vermelho) O status e uma breve sugestão são exibidos.
Na parte superior da página nota geral de segurança (As notas exibidas variam de A+ a F; você pode melhorar sua nota adicionando os cabeçalhos que faltam à configuração do seu servidor.)
O valor dos títulos existentes cópia Você pode adicioná-lo à sua área de transferência usando o botão.

FAQ

Perguntas frequentes

Os cabeçalhos de segurança informam ao navegador como lidar com seu site. Quando configurados corretamente, eles criam uma camada de defesa eficaz contra ataques comuns, como XSS (cross-site scripting), clickjacking, MIME sniffing, vazamento de informações de referência e acesso não autorizado a recursos do navegador.

Esta ferramenta verifica 6 cabeçalhos críticos: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Se todos estiverem presentes e a resposta for bem-sucedida, é atribuída uma classificação A+.

Em servidores Apache mod_headers com .htaccess ou httpd.conf para o arquivo Conjunto de cabeçalhos Você pode adicionar diretivas no Nginx. adicionar_cabeçalho A seguinte diretiva é utilizada. Plugins de segurança para WordPress ou .htaccess Essa configuração é suficiente.

A Política de Segurança de Conteúdo (CSP) define quais domínios e fontes podem enviar scripts, estilos, imagens, etc. Uma configuração incorreta pode danificar o site; portanto, é importante primeiro... Relatório de Política de Segurança de Conteúdo (somente) Recomenda-se testar no modo de relatório com o título.

Alguns servidores podem bloquear solicitações de bots, responder muito lentamente e expirar o tempo limite, ou usar certificados SSL inválidos. Além disso, por motivos de segurança, não é possível fazer consultas à rede local e a endereços IP privados (localhost, 192.168.x, etc.).

Análise gratuita de títulos de segurança

Análise gratuita de títulos de segurança

Passo a passo

Perguntas frequentes

Por que os capacetes de segurança são importantes?

Quais disciplinas devem ser aprovadas integralmente para se obter uma nota A+?

Como posso adicionar títulos?

Por que o cabeçalho CSP é tão complexo?

Por que não estou obtendo resultados em alguns sites?