HTTP Security Headers Check

// HTTP Security Headers Check

A HTTP biztonsági fejlécek megértése

A HTTP biztonsági fejlécek olyan utasítások, amelyeket a webszerverek küldenek, és megmondják a böngészőknek, hogyan kezeljék az oldal tartalmát. A webes támadások elleni védelem kritikus rétegét alkotják. A Strict-Transport-Security (HSTS) HTTPS-kapcsolatot kényszerít ki, a Content-Security-Policy (CSP) megakadályozza a szkriptinjektálást, az X-Frame-Options blokkolja a clickjacking-et, az X-Content-Type-Options pedig megállítja a MIME-típus-érzékelési támadásokat.

A hiányzó biztonsági fejlécek kiszolgáltatják a weboldalakat az ismert támadási mintáknak. HSTS nélkül a felhasználók HTTP-re degradálhatók és lehallgathatók. CSP nélkül az injektált szkriptek ellophatják a felhasználói adatokat. X-Frame-Options nélkül a támadók egy láthatatlan iframe-be ágyazhatják az oldalát, hogy rávegyék a felhasználókat rejtett gombok megnyomására.

Hogyan javíthatja biztonsági értékelését

Konfigurálja a biztonsági fejléceket a webszerverén (Nginx, Apache, Caddy) vagy CDN-jén (Cloudflare, AWS CloudFront). Kezdje a legnagyobb hatású fejlécekkel: HSTS hosszú max-age értékkel, szigorú CSP, X-Frame-Options DENY értékre állítva, és X-Content-Type-Options nosniff értékre állítva. A legtöbb egyetlen konfigurációs sorral hozzáadható.

GYIK

Mik azok a HTTP biztonsági fejlécek?

A HTTP biztonsági fejlécek a webszerverek által küldött válasz-direktívák, amelyek megmondják a böngészőknek, hogyan viselkedjenek a tartalom kezelésekor. Védelmet nyújtanak az olyan támadások ellen, mint a cross-site scripting (XSS), a clickjacking, a MIME-érzékelés és a protokoll-visszalépési támadások.

Mit csinál az egyes biztonsági fejlécek?

A HSTS HTTPS-t kényszerít ki, a CSP szabályozza, mely szkriptek futhatnak, az X-Frame-Options megakadályozza az iframe-be ágyazást, az X-Content-Type-Options megállítja a MIME-érzékelést, a Referrer-Policy szabályozza a hivatkozási információkat, a Permissions-Policy pedig korlátozza a böngésző funkcióit, például a kamera- és mikrofonhozzáférést.

Miért kapott az oldalam alacsony értékelést?

Gyakori okok: hiányzó Content-Security-Policy (a legnagyobb hatású fejléc), hiányzó HSTS fejléc, vagy hiányzó X-Frame-Options. Csupán e három fejléc hozzáadása jelentősen javítja az értékelést.

Hatással vannak a biztonsági fejlécek a teljesítményre?

Nem. A biztonsági fejlécek elhanyagolható többletterhelést jelentenek — csupán néhány extra bájt a HTTP-válaszban. A teljesítményre gyakorolt hatás gyakorlatilag nulla, míg a biztonsági előny jelentős.