HTTP Security Headers Check

// HTTP Security Headers Check

Pochopení bezpečnostních HTTP hlaviček

Bezpečnostní HTTP hlavičky jsou instrukce odesílané webovými servery, které prohlížečům říkají, jak mají nakládat s obsahem daného webu. Tvoří kritickou vrstvu obrany proti běžným webovým útokům. Strict-Transport-Security (HSTS) vynucuje připojení přes HTTPS, Content-Security-Policy (CSP) zabraňuje vkládání skriptů, X-Frame-Options blokuje clickjacking a X-Content-Type-Options zastavuje útoky prostřednictvím sniffingu MIME typů.

Chybějící bezpečnostní hlavičky ponechávají webové stránky zranitelné vůči dobře známým vzorům útoků. Bez HSTS mohou být uživatelé přesměrováni na HTTP a odposloucháváni. Bez CSP mohou vložené skripty odcizit uživatelská data. Bez X-Frame-Options mohou útočníci vložit váš web do neviditelného prvku iframe, aby přiměli uživatele kliknout na skrytá tlačítka.

Jak zlepšit své bezpečnostní hodnocení

Nakonfigurujte bezpečnostní hlavičky na svém webovém serveru (Nginx, Apache, Caddy) nebo CDN (Cloudflare, AWS CloudFront). Začněte s hlavičkami s nejvyšším dopadem: HSTS s dlouhou hodnotou max-age, restriktivní CSP, X-Frame-Options nastavené na DENY a X-Content-Type-Options nastavené na nosniff. Většinu z nich lze přidat jediným řádkem konfigurace.

FAQ

Co jsou bezpečnostní HTTP hlavičky?

Bezpečnostní HTTP hlavičky jsou direktivy odpovědí webových serverů, které prohlížečům říkají, jak se mají chovat při zpracování obsahu. Chrání před útoky, jako jsou cross-site scripting (XSS), clickjacking, sniffing MIME typů a útoky na downgrade protokolu.

Co jednotlivé bezpečnostní hlavičky dělají?

HSTS vynucuje HTTPS, CSP řídí, které skripty mohou být spuštěny, X-Frame-Options zabraňuje vkládání do prvků iframe, X-Content-Type-Options zastavuje sniffing MIME typů, Referrer-Policy kontroluje informace o referrerovi a Permissions-Policy omezuje funkce prohlížeče, jako je přístup ke kameře a mikrofonu.

Proč můj web dostal nízké hodnocení?

Nejčastější důvody: chybějící Content-Security-Policy (nejdůležitější hlavička), chybějící hlavička HSTS nebo chybějící X-Frame-Options. Samotné přidání těchto tří hlaviček vaše hodnocení výrazně zlepší.

Mají bezpečnostní hlavičky vliv na výkon?

Ne. Bezpečnostní hlavičky přidávají zanedbatelnou zátěž – jde jen o několik extra bajtů v HTTP odpovědi. Dopad na výkon je prakticky nulový, zatímco bezpečnostní přínos je značný.