Проверка на HTTP заглавия за сигурност

// Проверка на HTTP заглавия за сигурност

Разбиране на HTTP заглавките за сигурност

HTTP заглавките за сигурност са инструкции, изпращани от уеб сървъри, които казват на браузърите как да обработват съдържанието на даден сайт. Те формират критичен защитен слой срещу често срещани уеб атаки. Strict-Transport-Security (HSTS) налага HTTPS връзки, Content-Security-Policy (CSP) предотвратява инжектирането на скриптове, X-Frame-Options блокира clickjacking атаки, а X-Content-Type-Options спира атаките чрез разпознаване на MIME типове.

Липсващите заглавки за сигурност оставят уебсайтовете уязвими към добре познати модели на атаки. Без HSTS потребителите могат да бъдат понижени до HTTP и прихванати. Без CSP инжектираните скриптове могат да откраднат потребителски данни. Без X-Frame-Options нападателите могат да вградят вашия сайт в невидим iframe, за да подмамят потребителите да кликнат върху скрити бутони.

Как да подобрите оценката си за сигурност

Конфигурирайте заглавките за сигурност във вашия уеб сървър (Nginx, Apache, Caddy) или CDN (Cloudflare, AWS CloudFront). Започнете с заглавките с най-голямо въздействие: HSTS с дълъг max-age, ограничителна CSP политика, X-Frame-Options зададен на DENY и X-Content-Type-Options зададен на nosniff. Повечето могат да бъдат добавени с един единствен ред конфигурация.

FAQ

Какво представляват HTTP заглавките за сигурност?

HTTP заглавките за сигурност са директиви за отговор от уеб сървъри, които инструктират браузърите как да се държат при обработката на съдържание. Те защитават срещу атаки като cross-site scripting (XSS), clickjacking, разпознаване на MIME типове и атаки за понижаване на протокола.

Какво прави всяка заглавка за сигурност?

HSTS налага HTTPS, CSP контролира кои скриптове могат да се изпълняват, X-Frame-Options предотвратява вграждането в iframe, X-Content-Type-Options спира разпознаването на MIME типове, Referrer-Policy контролира информацията за препращащия адрес, а Permissions-Policy ограничава функции на браузъра като достъп до камера и микрофон.

Защо сайтът ми получи ниска оценка?

Често срещани причини: липсваща Content-Security-Policy (най-влиятелната заглавка), липса на HSTS заглавка или липсваща X-Frame-Options. Добавянето само на тези три заглавки ще подобри значително вашата оценка.

Влияят ли заглавките за сигурност на производителността?

Не. Заглавките за сигурност добавят пренебрежимо малко натоварване — те представляват само няколко допълнителни байта в HTTP отговора. Въздействието върху производителността е практически нулево, докато ползата за сигурността е значителна.