Techniczna Referencja Nagłówków Bezpieczeństwa
Szczegółowe informacje o każdym nagłówku bezpieczeństwa i jego znaczeniu:
Potężny nagłówek bezpieczeństwa, który pomaga zapobiegać atakom Cross-Site Scripting (XSS) i innym atakom związanych z wstrzykiwaniem kodu. Pozwala określić, które zasoby (skrypty, style, obrazy itp.) mogą być ładowane przez przeglądarkę.
default-src 'self'; script-src 'self' https://trusted.com;Rozpocznij od ścisłej polityki i stopniowo ją rozluźniaj w miarę potrzeb. Zawsze uwzględniaj dyrektywę default-src.
Wymusza użycie HTTPS zamiast HTTP dla wszystkich przyszłych żądań do Twojej domeny. Pomaga to zapobiegać atakom typu downgrade protokołu i przechwytywaniu cookies.
max-age=31536000; includeSubDomains; preloadUżyj długiego max-age (co najmniej 1 rok) i uwzględnij subdomeny, jeśli to możliwe.
Zapobiega osadzaniu Twojej strony w ramkach na innych stronach, chroniąc przed atakami typu clickjacking.
SAMEORIGINUżyj DENY, aby całkowicie zapobiec osadzaniu, lub SAMEORIGIN, aby pozwolić na osadzanie tylko z własnej domeny.
Włącza wbudowane filtrowanie XSS w przeglądarce. Chociaż nowoczesne przeglądarki odchodzą od tego nagłówka, zapewnia on dodatkową warstwę ochrony dla starszych przeglądarek.
1; mode=blockUżyj "1; mode=block", aby włączyć ochronę i zablokować stronę, jeśli wykryto atak.
Zapobiega przeglądarkom przed MIME-sniffingiem odpowiedzi, różniącej się od zadeklarowanego typu treści, zmniejszając narażenie na ataki drive-by download.
nosniffZawsze ustawiaj na "nosniff", aby zapobiec sniffingowi typu MIME.
Kontroluje, ile informacji o odsyłaczu powinno być dołączonych do żądań. Pomaga to chronić prywatność użytkowników, kontrolując, jakie informacje są wysyłane do innych witryn.
strict-origin-when-cross-originUżyj "strict-origin-when-cross-origin" dla dobrej równowagi między bezpieczeństwem a funkcjonalnością.
Kontroluje, które funkcje i interfejsy API przeglądarki mogą być używane na Twojej stronie internetowej. Pomaga to zapobiegać nadużyciom wrażliwych funkcji przeglądarki.
geolocation=(), microphone=(), camera=()Wyłącz funkcje, których nie potrzebujesz i ostrożnie kontroluj dostęp do wrażliwych funkcji.
Pozwala witrynom określić, które urzędy certyfikacji powinny być zaufane dla Twojej domeny. Pomaga to zapobiegać atakom typu man-in-the-middle.
pin-sha256="base64=="; max-age=5184000Uwzględnij co najmniej dwa piny i plan awaryjny. Uwaga: Ten nagłówek jest wycofywany na rzecz Przejrzystości Certyfikatów.
Kluczowe Funkcje
- Kompleksowa analiza nagłówków bezpieczeństwa
- Sprawdzanie nagłówków w czasie rzeczywistym
- Szczegółowe rekomendacje dla każdego nagłówka
- Wsparcie dla wszystkich głównych nagłówków bezpieczeństwa
- Proste do zrozumienia wskaźniki statusu
Typowe Zastosowania
- Audyt bezpieczeństwa stron internetowych
- Sprawdzanie zgodności z bezpieczeństwem
- Testowanie w trakcie rozwoju stron internetowych
- Wdrażanie polityki bezpieczeństwa
- Regularne monitorowanie bezpieczeństwa
Jak Korzystać
- Wprowadź adres URL strony internetowej, którą chcesz sprawdzić
- Kliknij przycisk "Sprawdź Nagłówki"
- Poczekaj na zakończenie analizy
- Przejrzyj wyniki i rekomendacje
- Wdroż sugerowane ulepszenia bezpieczeństwa
