HTTP Security Headers Check

// HTTP Security Headers Check

Razumijevanje HTTP sigurnosnih zaglavlja

HTTP sigurnosna zaglavlja su upute koje šalju web poslužitelji i govore preglednicima kako da rukuju sadržajem stranice. Čine kritičan sloj obrane protiv uobičajenih web napada. Strict-Transport-Security (HSTS) prisiljava HTTPS veze, Content-Security-Policy (CSP) sprječava ubacivanje skripti, X-Frame-Options blokira clickjacking, a X-Content-Type-Options zaustavlja napade MIME-type sniffinga.

Nedostajuća sigurnosna zaglavlja ostavljaju web stranice ranjivima na poznate obrasce napada. Bez HSTS-a, korisnici mogu biti degradirani na HTTP i presretnuti. Bez CSP-a, ubačene skripte mogu ukrasti korisničke podatke. Bez X-Frame-Options, napadači mogu ugraditi vašu stranicu u nevidljivi iframe kako bi prevarili korisnike da kliknu skrivene gumbe.

Kako poboljšati svoju sigurnosnu ocjenu

Konfigurirajte sigurnosna zaglavlja na svom web poslužitelju (Nginx, Apache, Caddy) ili CDN-u (Cloudflare, AWS CloudFront). Počnite s najučinkovitijim zaglavljima: HSTS s dugim max-age, restriktivan CSP, X-Frame-Options postavljen na DENY, te X-Content-Type-Options postavljen na nosniff. Većina se može dodati jednim retkom konfiguracije.

FAQ

Što su HTTP sigurnosna zaglavlja?

HTTP sigurnosna zaglavlja su direktivama odgovora web poslužitelja koje preglednicima daju upute kako se ponašati pri rukovanju sadržajem. Štite od napada poput cross-site scriptinga (XSS), clickjackinga, MIME sniffinga i napada degradacije protokola.

Što radi svako sigurnosno zaglavlje?

HSTS prisiljava HTTPS, CSP kontrolira koje se skripte mogu pokrenuti, X-Frame-Options sprječava ugradnju u iframe, X-Content-Type-Options zaustavlja MIME sniffing, Referrer-Policy kontrolira informacije o referreru, a Permissions-Policy ograničava funkcije preglednika poput pristupa kameri i mikrofonu.

Zašto je moja stranica dobila nisku ocjenu?

Uobičajeni razlozi: nedostaje Content-Security-Policy (najutjecajnije zaglavlje), nema HSTS zaglavlja ili nedostaje X-Frame-Options. Samo dodavanje ova tri zaglavlja značajno će poboljšati vašu ocjenu.

Utječu li sigurnosna zaglavlja na performanse?

Ne. Sigurnosna zaglavlja dodaju zanemariv overhead — samo su nekoliko dodatnih bajtova u HTTP odgovoru. Utjecaj na performanse je praktički nula, dok je sigurnosna korist znatna.