Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Безкоштовний аналіз новин про безпеку

Інформація

Безкоштовний аналіз заголовків безпеки

Заголовки безпеки – це заголовки HTTP-відповідей, які ваш веб-сервер надсилає вашому браузеру, захищаючи ваш сайт від різних типів атак. Цей безкоштовний інструмент запитує у сервера шість критичних заголовків безпеки у введеній вами URL-адресі; він перераховує наявність, значення та коротку рекомендацію для кожного з них, а потім надає загальний рейтинг безпеки від A+ до F.

Аналізовані теми такі: Сувора безпека транспортування (HSTS) Це робить сайт доступним лише через HTTPS; Політика безпеки контенту (CSP) Це запобігає XSS-атакам, визначаючи, які ресурси можна завантажувати; Параметри X-Frame Це захищає від клікджекінгу, запобігаючи відображенню вашого сайту в iframe інших сайтів; Параметри типу X-Content Це вимикає передбачення типу MIME; Політика щодо рефералів Він контролює, яка інформація про рефералів відвідувачів передається третім сторонам; Політика дозволів Він обмежує доступ до таких функцій браузера, як камера, мікрофон і геолокація.

Додавання цих заголовків робить ваш сайт набагато стійкішим до поширених вразливостей веб-безпеки, таких як XSS, клікджекінг, MIME-сніфінг, витік даних та несанкціонований доступ до API. Результати запитуються в режимі реального часу через наш сервер; адреси локальних та приватних мереж блокуються з міркувань безпеки.

Як його використовувати?

Крок за кроком

Адреса сайту, який ви хочете перевірити https://example.com Введіть його у такому форматі.
Аналіз Натисніть кнопку; наш сервер надішле запит на ваш сайт.
Для кожного захисного шолома струм (зелений) або відсутній (червоний) Відображається статус і коротка пропозиція.
У верхній частині сторінки загальна примітка безпеки (Відображаються оцінки від A+ до F; ви можете покращити свою оцінку, додавши відсутні заголовки до конфігурації сервера.)
Цінність існуючих титулів копія Ви можете додати його до буфера обміну за допомогою кнопки.

FAQ

Часті запитання

Заголовки безпеки повідомляють браузеру, як обробляти ваш сайт. За правильного налаштування вони створюють ефективний рівень захисту від поширених атак, таких як XSS (міжсайтовий скриптинг), клікджекінг, MIME-сніфінг, витік інформації про реферери та несанкціонований доступ до функцій браузера.

Цей інструмент перевіряє 6 критичних заголовків: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy та Permissions-Policy. Якщо всі вони присутні та відповідь успішна, виставляється оцінка A+.

На серверах Apache заголовки_модифікації з .htaccess або httpd.conf до файлу Набір заголовків Ви можете додавати директиви в Nginx. додати_заголовок Використовується наступна директива. Плагіни безпеки для WordPress або .htaccess Такого домовленості достатньо.

Політика безпеки контенту визначає, які домени та джерела можуть завантажувати скрипти, стилі, зображення тощо. Неправильна конфігурація може призвести до пошкодження сайту; тому важливо спочатку... Тільки звіт про політику безпеки контенту Рекомендується тестувати в режимі звітності з заголовком.

Деякі сервери можуть блокувати запити ботів, відповідати дуже повільно та через перевищення часу очікування, або використовувати недійсні SSL-сертифікати. Також з міркувань безпеки запити не можна робити до локальної мережі та приватних IP-адрес (localhost, 192.168.x тощо).

Безкоштовний аналіз заголовків безпеки

Безкоштовний аналіз заголовків безпеки

Крок за кроком

Часті запитання

Чому важливі захисні шоломи?

Які предмети потрібно скласти повністю, щоб отримати оцінку A+?

Як я можу додати заголовки?

Чому заголовок CSP такий складний?

Чому я не отримую результатів на деяких вебсайтах?