Проверка HTTP-заголовков безопасности

// Проверка HTTP-заголовков безопасности

Понимание заголовков безопасности HTTP

Заголовки безопасности HTTP — это инструкции, отправляемые веб-серверами, которые сообщают браузерам, как обрабатывать содержимое сайта. Они образуют критически важный уровень защиты от распространённых веб-атак. Strict-Transport-Security (HSTS) принудительно устанавливает соединения по HTTPS, Content-Security-Policy (CSP) предотвращает внедрение скриптов, X-Frame-Options блокирует кликджекинг, а X-Content-Type-Options останавливает атаки с подменой MIME-типа.

Отсутствие заголовков безопасности делает сайты уязвимыми для известных векторов атак. Без HSTS пользователей можно принудительно перевести на HTTP и перехватить их трафик. Без CSP внедрённые скрипты могут похищать данные пользователей. Без X-Frame-Options злоумышленники могут встроить ваш сайт в невидимый iframe, чтобы обманом заставить пользователей нажимать на скрытые кнопки.

Как улучшить оценку безопасности

Настройте заголовки безопасности на вашем веб-сервере (Nginx, Apache, Caddy) или в CDN (Cloudflare, AWS CloudFront). Начните с наиболее важных заголовков: HSTS с длительным значением max-age, строгая CSP, X-Frame-Options со значением DENY и X-Content-Type-Options со значением nosniff. Большинство из них можно добавить с помощью одной строки конфигурации.

FAQ

Что такое заголовки безопасности HTTP?

Заголовки безопасности HTTP — это директивы ответа веб-серверов, которые указывают браузерам, как вести себя при обработке контента. Они защищают от таких атак, как межсайтовый скриптинг (XSS), кликджекинг, подмена MIME-типа и атаки на понижение версии протокола.

Что делает каждый заголовок безопасности?

HSTS принудительно включает HTTPS, CSP контролирует, какие скрипты могут выполняться, X-Frame-Options предотвращает встраивание через iframe, X-Content-Type-Options останавливает подмену MIME-типа, Referrer-Policy управляет информацией о реферере, а Permissions-Policy ограничивает доступ браузера к таким функциям, как камера и микрофон.

Почему мой сайт получил низкую оценку?

Распространённые причины: отсутствие Content-Security-Policy (наиболее значимого заголовка), отсутствие заголовка HSTS или X-Frame-Options. Добавление только этих трёх заголовков существенно повысит вашу оценку.

Влияют ли заголовки безопасности на производительность?

Нет. Заголовки безопасности создают ничтожно малую нагрузку — это всего несколько дополнительных байт в HTTP-ответе. Влияние на производительность фактически равно нулю, тогда как польза для безопасности весьма значительна.