Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

บทวิเคราะห์ฟรีจาก Security Headlines

การวิเคราะห์ฟรีเกี่ยวกับหัวข้อความปลอดภัย

รับการวิเคราะห์ส่วนหัวด้านความปลอดภัยของเว็บไซต์ของคุณฟรี ตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณได้คะแนน A-F โดยการตรวจสอบ HSTS, CSP, X-Frame-Options และอื่นๆ อีกมากมาย

ข้อมูล

การวิเคราะห์ฟรีเกี่ยวกับหัวข้อความปลอดภัย

ส่วนหัวด้านความปลอดภัย (Security headers) คือส่วนหัวการตอบสนอง HTTP ที่เว็บเซิร์ฟเวอร์ของคุณส่งไปยังเบราว์เซอร์ เพื่อปกป้องเว็บไซต์ของคุณจากการโจมตีประเภทต่างๆ เครื่องมือฟรีนี้จะสอบถามเซิร์ฟเวอร์เพื่อหาส่วนหัวด้านความปลอดภัยที่สำคัญ 6 รายการใน URL ที่คุณป้อน โดยจะแสดงรายการการมีอยู่ ค่า และคำแนะนำสั้นๆ สำหรับแต่ละรายการ จากนั้นจะให้คะแนนความปลอดภัยโดยรวมตั้งแต่ A+ ถึง F

หัวข้อที่นำมาวิเคราะห์มีดังต่อไปนี้: ระบบรักษาความปลอดภัยการขนส่งที่เข้มงวด (HSTS) วิธีนี้จะทำให้เว็บไซต์สามารถเข้าถึงได้ผ่านทาง HTTPS เท่านั้น นโยบายความปลอดภัยของเนื้อหา (CSP) มันช่วยป้องกันการโจมตี XSS โดยการกำหนดว่าทรัพยากรใดบ้างที่สามารถโหลดได้ ตัวเลือกเฟรม X มันช่วยป้องกันการโจมโจมแบบคลิกแจ็กกิ้งโดยการป้องกันไม่ให้เว็บไซต์ของคุณแสดงใน iframe ของเว็บไซต์อื่น ตัวเลือกประเภทเนื้อหา X ฟังก์ชันนี้จะปิดใช้งานการคาดเดาประเภท MIME; นโยบายผู้แนะนำ ระบบนี้ควบคุมว่าข้อมูลผู้เยี่ยมชมที่อ้างอิงถึงเว็บไซต์ใดบ้างที่จะถูกแบ่งปันกับบุคคลที่สาม นโยบายการอนุญาต เป็นการจำกัดการเข้าถึงคุณสมบัติของเบราว์เซอร์ เช่น กล้อง ไมโครโฟน และตำแหน่งที่ตั้ง

การเพิ่มส่วนหัวเหล่านี้จะทำให้เว็บไซต์ของคุณมีความทนทานต่อช่องโหว่ด้านความปลอดภัยบนเว็บทั่วไปมากขึ้น เช่น XSS, clickjacking, MIME sniffing, การรั่วไหลของข้อมูล และการเข้าถึง API โดยไม่ได้รับอนุญาต ผลลัพธ์จะถูกสอบถามแบบเรียลไทม์ผ่านเซิร์ฟเวอร์ของเรา ที่อยู่เครือข่ายภายในและส่วนตัวจะถูกบล็อกด้วยเหตุผลด้านความปลอดภัย

วิธีใช้งาน?

ทีละขั้นตอน

ที่อยู่ของเว็บไซต์ที่คุณต้องการตรวจสอบ https://example.com กรุณาป้อนในรูปแบบนี้
วิเคราะห์ คลิกปุ่มนี้ เซิร์ฟเวอร์ของเราจะส่งคำขอไปยังเว็บไซต์ของคุณ
สำหรับหมวกนิรภัยแต่ละใบ กระแสไฟฟ้า (สีเขียว) หรือ หายไป (สีแดง) ระบบจะแสดงสถานะและคำแนะนำโดยย่อ
ที่ด้านบนของหน้า หมายเหตุเกี่ยวกับความปลอดภัยทั่วไป (แสดงผลการเรียนตั้งแต่ A+ ถึง F คุณสามารถปรับปรุงผลการเรียนได้โดยการเพิ่มหัวข้อที่ขาดหายไปในการตั้งค่าเซิร์ฟเวอร์ของคุณ)
มูลค่าของกรรมสิทธิ์ที่มีอยู่ สำเนา คุณสามารถเพิ่มลงในคลิปบอร์ดได้โดยใช้ปุ่มนี้

คำถามที่พบบ่อย

ส่วนหัวด้านความปลอดภัยจะบอกเบราว์เซอร์ถึงวิธีการจัดการเว็บไซต์ของคุณ เมื่อตั้งค่าอย่างถูกต้อง ส่วนหัวเหล่านี้จะสร้างชั้นป้องกันที่มีประสิทธิภาพต่อการโจมตีทั่วไป เช่น XSS (cross-site scripting), clickjacking, MIME sniffing, การรั่วไหลของข้อมูลผู้แนะนำ และการเข้าถึงคุณสมบัติของเบราว์เซอร์โดยไม่ได้รับอนุญาต

เครื่องมือนี้ตรวจสอบหัวข้อสำคัญ 6 หัวข้อ ได้แก่ Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy และ Permissions-Policy หากมีครบทุกหัวข้อและผลลัพธ์ถูกต้อง จะได้รับเกรด A+

บนเซิร์ฟเวอร์ Apache ม็อดเฮดเดอร์ กับ .htaccess หรือ httpd.conf ไปยังไฟล์ ชุดส่วนหัว คุณสามารถเพิ่มคำสั่ง (directives) ใน Nginx ได้ เพิ่มส่วนหัว มีการใช้คำสั่งต่อไปนี้ ปลั๊กอินความปลอดภัยสำหรับ WordPress หรือ .htaccess การจัดการแบบนี้ก็เพียงพอแล้ว

Content-Security-Policy กำหนดว่าโดเมนและแหล่งที่มาใดบ้างที่สามารถอัปโหลดสคริปต์ สไตล์ รูปภาพ ฯลฯ ได้ การกำหนดค่าที่ไม่ถูกต้องอาจทำให้เว็บไซต์ใช้งานไม่ได้ ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้อง...

รายงานนโยบายความปลอดภัยของเนื้อหาเท่านั้น

แนะนำให้ทดสอบในโหมดรายงานโดยใส่ชื่อเรื่องด้วย

เซิร์ฟเวอร์บางแห่งอาจบล็อกคำขอจากบอท ตอบสนองช้ามากและหมดเวลา หรือใช้ใบรับรอง SSL ที่ไม่ถูกต้อง นอกจากนี้ ด้วยเหตุผลด้านความปลอดภัย จะไม่สามารถส่งคำขอไปยังเครือข่ายภายในและที่อยู่ IP ส่วนตัว (localhost, 192.168.x เป็นต้น) ได้

การวิเคราะห์ฟรีเกี่ยวกับหัวข้อความปลอดภัย

การวิเคราะห์ฟรีเกี่ยวกับหัวข้อความปลอดภัย

ทีละขั้นตอน

คำถามที่พบบ่อย

หมวกนิรภัยมีความสำคัญอย่างไร?

ต้องสอบผ่านวิชาใดบ้างจึงจะได้รับเกรด A+?

ฉันจะเพิ่มหัวข้อได้อย่างไร?

เหตุใดส่วนหัวของ CSP จึงซับซ้อนมาก?

ทำไมฉันถึงไม่ได้รับผลลัพธ์จากบางเว็บไซต์?