Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Libreng Pagsusuri ng mga Ulat sa Seguridad

Impormasyon

Libreng Pagsusuri ng Mga Pamagat ng Seguridad

Ang mga security header ay mga HTTP response header na ipinapadala ng iyong web server sa iyong browser, na pinoprotektahan ang iyong site mula sa iba't ibang uri ng pag-atake. Ang libreng tool na ito ay nagtatanong sa server para sa anim na kritikal na security header sa URL na iyong ipinasok; inililista nito ang presensya, halaga, at isang maikling rekomendasyon para sa bawat isa, pagkatapos ay nagbibigay ng pangkalahatang rating ng seguridad mula A+ hanggang F.

Ang mga paksang sinuri ay ang mga sumusunod: Mahigpit na Seguridad sa Transportasyon (HSTS) Ginagawa nitong maa-access lamang ang site sa pamamagitan ng HTTPS; Patakaran sa Seguridad ng Nilalaman (CSP) Pinipigilan nito ang mga pag-atake ng XSS sa pamamagitan ng pagtukoy kung aling mga mapagkukunan ang maaaring i-load; Mga Pagpipilian sa X-Frame Pinoprotektahan nito laban sa clickjacking sa pamamagitan ng pagpigil sa iyong site na maipakita sa mga iframe ng ibang mga site; Mga Opsyon sa Uri ng Nilalaman ng X Hindi nito pinapagana ang prediksyon ng uri ng MIME; Patakaran sa Pagrerekomenda Kinokontrol nito kung aling impormasyon ng referrer ng bisita ang ibinabahagi sa mga ikatlong partido; Patakaran sa mga Pahintulot Nililimitahan nito ang access sa mga feature ng browser tulad ng camera, mikropono, at lokasyon.

Ang pagdaragdag ng mga header na ito ay ginagawang mas matatag ang iyong site laban sa mga karaniwang kahinaan sa seguridad sa web tulad ng XSS, clickjacking, MIME sniffing, data leakage, at hindi awtorisadong pag-access sa API. Ang mga resulta ay kinukuwestiyon nang real-time sa pamamagitan ng aming server; ang mga lokal at pribadong address ng network ay hinaharangan para sa mga kadahilanang pangseguridad.

Paano ito gamitin?

Hakbang-hakbang

Ang address ng site na gusto mong tingnan https://example.com Ilagay ito sa ganitong format.
Suriin Pindutin ang buton; magpapadala ang aming server ng kahilingan sa iyong site.
Para sa bawat helmet pangkaligtasan kasalukuyang (berde) o nawawala (pula) Ang katayuan at isang maikling mungkahi ay ipinapakita.
Sa itaas ng pahina pangkalahatang tala ng seguridad (Ipinapakita ang mga grado mula A+ hanggang F; maaari mong pagbutihin ang iyong grado sa pamamagitan ng pagdaragdag ng mga nawawalang heading sa configuration ng iyong server.)
Ang halaga ng mga umiiral na titulo kopya Maaari mo itong idagdag sa iyong clipboard gamit ang button.

FAQ

Mga Madalas Itanong

Sinasabi ng mga security header sa browser kung paano pangasiwaan ang iyong site. Kapag maayos na na-configure, lumilikha ang mga ito ng isang epektibong defense layer laban sa mga karaniwang pag-atake tulad ng XSS (cross-site scripting), clickjacking, MIME sniffing, referrer information leakage, at hindi awtorisadong pag-access sa feature ng browser.

Sinusuri ng tool na ito ang 6 na kritikal na heading: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, at Permissions-Policy. Kung naroon lahat at matagumpay ang tugon, ibibigay ang gradong A+.

Sa mga server ng Apache mga mod_header kasama .htaccess o httpd.conf sa file Set ng header Maaari kang magdagdag ng mga direktiba sa Nginx. add_header Ang sumusunod na direktiba ay ginagamit. Mga plugin ng seguridad para sa WordPress o .htaccess Sapat na ang ganitong kaayusan.

Tinutukoy ng Content-Security-Policy kung aling mga domain at source ang maaaring mag-upload ng mga script, style, imahe, atbp. Ang maling configuration ay maaaring makasira sa site; samakatuwid, mahalagang unahin... Ulat-sa-Patakaran-sa-Seguridad-ng-Nilalaman-Lamang Inirerekomenda na subukan sa reporting mode gamit ang pamagat.

Maaaring harangan ng ilang server ang mga bot request, tumugon nang napakabagal at nag-time out, o gumamit ng mga hindi wastong SSL certificate. Gayundin, para sa mga kadahilanang pangseguridad, hindi maaaring gumawa ng mga query sa lokal na network at mga pribadong IP address (localhost, 192.168.x, atbp.).

Libreng Pagsusuri ng Mga Pamagat ng Seguridad

Libreng Pagsusuri ng Mga Pamagat ng Seguridad

Hakbang-hakbang

Mga Madalas Itanong

Bakit mahalaga ang mga helmet pangkaligtasan?

Aling mga asignatura ang dapat ipasa nang buo para makakuha ng gradong A+?

Paano ako makakapagdagdag ng mga heading?

Bakit napakakomplikado ng header ng CSP?

Bakit hindi ako nakakakuha ng mga resulta sa ilang mga website?