Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

Xavfsizlik sarlavhalari bepul tahlili

Ma'lumot

Xavfsizlik sarlavhalarini bepul tahlil qilish

Xavfsizlik sarlavhalari - bu veb-serveringiz brauzeringizga yuboradigan va saytingizni turli xil hujumlardan himoya qiladigan HTTP javob sarlavhalari. Ushbu bepul vosita serverdan siz kiritgan URL manzilida oltita muhim xavfsizlik sarlavhasini so'raydi; u mavjudligi, qiymati va har biri uchun qisqa tavsiyalarni sanab o'tadi, so'ngra A+ dan F gacha umumiy xavfsizlik reytingini beradi.

Tahlil qilingan mavzular quyidagicha: Qattiq transport xavfsizligi (HSTS) Bu saytga faqat HTTPS orqali kirish imkonini beradi; Kontent-Xavfsizlik-Siyosati (CSP) Qaysi resurslarni yuklash mumkinligini aniqlash orqali XSS hujumlarining oldini oladi; X-Frame-Options Bu sizning saytingiz boshqa saytlarning iframe'larida ko'rsatilishini oldini olish orqali kliklashdan himoya qiladi; X-Kontent-Turi-Options MIME turini bashorat qilishni o'chirib qo'yadi; Yo'naltiruvchi siyosati U qaysi tashrif buyuruvchi yo'naltiruvchi ma'lumotlari uchinchi shaxslar bilan ulashilishini nazorat qiladi; Ruxsatnomalar siyosati Bu kamera, mikrofon va joylashuv kabi brauzer funksiyalariga kirishni cheklaydi.

Ushbu sarlavhalarni qo'shish saytingizni XSS, clickjacking, MIME sniffing, ma'lumotlarning oqishi va ruxsatsiz API kirish kabi keng tarqalgan veb-xavfsizlik zaifliklariga nisbatan ancha chidamli qiladi. Natijalar bizning serverimiz orqali real vaqt rejimida so'raladi; xavfsizlik sabablari tufayli mahalliy va xususiy tarmoq manzillari bloklanadi.

Uni qanday ishlatish kerak?

Bosqichma-bosqich

Tekshirmoqchi bo'lgan sayt manzili https://example.com Uni ushbu formatda kiriting.
Tahlil qiling Tugmani bosing; bizning serverimiz saytingizga so'rov yuboradi.
Har bir xavfsizlik dubulg'asi uchun oqim (yashil) yoki yo'qolgan (qizil) Holat va qisqacha taklif ko'rsatiladi.
Sahifaning yuqori qismida umumiy xavfsizlik eslatmasi (A+ dan F gacha bo'lgan baholar ko'rsatiladi; server konfiguratsiyangizga yetishmayotgan sarlavhalarni qo'shish orqali baholaringizni yaxshilashingiz mumkin.)
Mavjud nomlarning qiymati nusxa ko'chirish Siz uni tugma yordamida clipboardga qo'shishingiz mumkin.

SSS

Tez-tez so'raladigan savollar

Xavfsizlik sarlavhalari brauzerga saytingizni qanday boshqarishni aytadi. To'g'ri sozlanganda, ular XSS (saytlararo skriptlar), klikkeyking, MIME skanerlash, referer ma'lumotlarining oqishi va brauzer funksiyalariga ruxsatsiz kirish kabi keng tarqalgan hujumlarga qarshi samarali himoya qatlamini yaratadi.

Ushbu vosita 6 ta muhim sarlavhani tekshiradi: Qattiq-Transport-Xavfsizlik, Kontent-Xavfsizlik-Siyosat, X-Frame-Options, X-Content-Type-Options, Referrer-Policy va Permissions-Policy. Agar barchasi mavjud bo'lsa va javob muvaffaqiyatli bo'lsa, A+ bahosi beriladi.

Apache serverlarida mod_headers bilan .htaccess yoki httpd.conf faylga Sarlavha to'plami Nginx-da direktivalarni qo'shishingiz mumkin. sarlavha qo'shish Quyidagi direktiv ishlatiladi. WordPress uchun xavfsizlik plaginlari yoki .htaccess Bu tartib yetarli.

Kontent-Xavfsizlik-Siyosati qaysi domenlar va manbalar skriptlar, uslublar, rasmlar va boshqalarni yuklashi mumkinligini belgilaydi. Noto'g'ri konfiguratsiya saytni buzishi mumkin; shuning uchun avval... Faqat kontent xavfsizligi siyosati hisoboti Sarlavha bilan hisobot rejimida sinab ko'rish tavsiya etiladi.

Ba'zi serverlar bot so'rovlarini bloklashi, juda sekin javob berishi va vaqt tugashi yoki yaroqsiz SSL sertifikatlaridan foydalanishi mumkin. Shuningdek, xavfsizlik nuqtai nazaridan mahalliy tarmoq va shaxsiy IP manzillariga (localhost, 192.168.x va boshqalar) so'rovlar yuborib bo'lmaydi.

Xavfsizlik sarlavhalarini bepul tahlil qilish

Xavfsizlik sarlavhalarini bepul tahlil qilish

Bosqichma-bosqich

Tez-tez so'raladigan savollar

Xavfsizlik dubulg'alari nima uchun muhim?

A+ baho olish uchun qaysi fanlardan to'liq o'tish kerak?

Sarlavhalarni qanday qo'shishim mumkin?

Nima uchun CSP sarlavhasi shunchalik murakkab?

Nima uchun ba'zi veb-saytlarda natijalarni olmayapman?