Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

سیکورٹی ہیڈ لائنز مفت تجزیہ

معلومات

سیکورٹی عنوانات مفت تجزیہ

سیکیورٹی ہیڈر HTTP رسپانس ہیڈرز ہیں جو آپ کا ویب سرور آپ کے براؤزر کو بھیجتا ہے، آپ کی سائٹ کو مختلف قسم کے حملوں سے بچاتا ہے۔ یہ مفت ٹول سرور سے آپ کے داخل کردہ URL میں چھ اہم حفاظتی ہیڈرز کے لیے استفسار کرتا ہے۔ یہ موجودگی، قدر، اور ہر ایک کے لیے ایک مختصر سفارش کی فہرست دیتا ہے، پھر A+ سے F تک مجموعی طور پر سیکیورٹی کی درجہ بندی دیتا ہے۔

جن موضوعات کا تجزیہ کیا گیا وہ درج ذیل ہیں: سخت-ٹرانسپورٹ-سیکیورٹی (HSTS) یہ سائٹ کو صرف HTTPS کے ذریعے قابل رسائی بناتا ہے۔ مواد کی حفاظت کی پالیسی (CSP) یہ XSS حملوں کو اس بات کی وضاحت کے ذریعے روکتا ہے کہ کون سے وسائل لوڈ کیے جا سکتے ہیں۔ ایکس فریم کے اختیارات یہ آپ کی سائٹ کو دوسری سائٹوں کے iframes میں ظاہر ہونے سے روک کر کلک جیکنگ سے بچاتا ہے۔ ایکس مواد کی قسم کے اختیارات یہ MIME قسم کی پیشن گوئی کو غیر فعال کرتا ہے۔ ریفرر پالیسی یہ کنٹرول کرتا ہے کہ کون سی وزیٹر ریفرر کی معلومات تیسرے فریق کے ساتھ شیئر کی جاتی ہے۔ اجازت کی پالیسی یہ براؤزر کی خصوصیات جیسے کیمرہ، مائیکروفون اور مقام تک رسائی کو محدود کرتا ہے۔

ان ہیڈرز کو شامل کرنے سے آپ کی سائٹ عام ویب سیکیورٹی کمزوریوں جیسے کہ XSS، کلک جیکنگ، MIME سنفنگ، ڈیٹا لیکیج، اور غیر مجاز API رسائی کے خلاف بہت زیادہ لچکدار بناتی ہے۔ نتائج ہمارے سرور کے ذریعے حقیقی وقت میں پوچھے جاتے ہیں۔ مقامی اور نجی نیٹ ورک کے پتے سیکورٹی وجوہات کی بنا پر مسدود ہیں۔

اس کا استعمال کیسے کریں؟

قدم بہ قدم

آپ جس سائٹ کو چیک کرنا چاہتے ہیں اس کا پتہ https://example.com اسے اس فارمیٹ میں درج کریں۔
تجزیہ کریں۔ بٹن پر کلک کریں؛ ہمارا سرور آپ کی سائٹ پر ایک درخواست بھیجے گا۔
ہر حفاظتی ہیلمٹ کے لیے موجودہ (سبز) یا لاپتہ (سرخ) حیثیت اور ایک مختصر تجویز ظاہر کی جاتی ہے۔
صفحہ کے اوپری حصے میں جنرل سیکورٹی نوٹ (A+ سے F تک کے گریڈ دکھائے جاتے ہیں؛ آپ اپنے سرور کی ترتیب میں گمشدہ عنوانات کو شامل کرکے اپنے گریڈ کو بہتر بنا سکتے ہیں۔)
موجودہ عنوانات کی قدر کاپی آپ بٹن کا استعمال کرکے اسے اپنے کلپ بورڈ میں شامل کرسکتے ہیں۔

FAQ

اکثر پوچھے گئے سوالات

سیکیورٹی ہیڈرز براؤزر کو بتاتے ہیں کہ آپ کی سائٹ کو کیسے ہینڈل کرنا ہے۔ مناسب طریقے سے ترتیب دینے پر، وہ عام حملوں جیسے کہ XSS (کراس سائٹ اسکرپٹنگ)، کلک جیکنگ، MIME سنفنگ، ریفرر انفارمیشن لیکیج، اور غیر مجاز براؤزر فیچر تک رسائی کے خلاف ایک مؤثر دفاعی تہہ بناتے ہیں۔

یہ ٹول 6 اہم عنوانات کی جانچ پڑتال کرتا ہے: سخت-ٹرانسپورٹ-سیکیورٹی، مواد-سیکیورٹی-پالیسی، X-فریم-اختیارات، X-مواد-قسم-اختیارات، ریفرر-پالیسی، اور اجازت-پالیسی۔ اگر سب موجود ہیں اور جواب کامیاب ہے تو A+ گریڈ دیا جاتا ہے۔

اپاچی سرورز پر mod_headers کے ساتھ .htaccess یا httpd.conf فائل کو ہیڈر سیٹ آپ Nginx میں ہدایات شامل کر سکتے ہیں۔ add_header مندرجہ ذیل ہدایت استعمال کی جاتی ہے۔ ورڈپریس کے لئے سیکورٹی پلگ ان یا .htaccess یہ ترتیب کافی ہے۔

Content-Security-Policy اس بات کی وضاحت کرتی ہے کہ کون سے ڈومینز اور ذرائع اسکرپٹس، اسٹائلز، امیجز وغیرہ کو اپ لوڈ کرسکتے ہیں۔ غلط کنفیگریشن سائٹ کو توڑ سکتی ہے۔ لہذا، یہ سب سے پہلے ضروری ہے ... مواد-سیکیورٹی-پالیسی-رپورٹ-صرف عنوان کے ساتھ رپورٹنگ موڈ میں ٹیسٹ کرنے کی سفارش کی جاتی ہے۔

کچھ سرور بوٹ کی درخواستوں کو روک سکتے ہیں، بہت آہستہ جواب دے سکتے ہیں اور وقت ختم ہو سکتا ہے، یا غلط SSL سرٹیفکیٹ استعمال کر سکتا ہے۔ اس کے علاوہ، سیکورٹی وجوہات کی بناء پر، مقامی نیٹ ورک اور پرائیویٹ IP پتوں (لوکل ہوسٹ، 192.168.x، وغیرہ) سے سوالات نہیں کیے جا سکتے۔

سیکورٹی عنوانات مفت تجزیہ

سیکورٹی عنوانات مفت تجزیہ

قدم بہ قدم

اکثر پوچھے گئے سوالات

حفاظتی ہیلمٹ کیوں اہم ہیں؟

A+ گریڈ حاصل کرنے کے لیے کن مضامین کو مکمل پاس کرنا ضروری ہے؟

میں عنوانات کیسے شامل کر سکتا ہوں؟

CSP ہیڈر اتنا پیچیدہ کیوں ہے؟

مجھے کچھ ویب سائٹس پر نتائج کیوں نہیں مل رہے ہیں؟