Проверка заголовков безопасности сайта
Убедитесь в надежности вашего веб-сайта с помощью проверки заголовков безопасности. Этот инструмент анализирует заголовки HTTP, такие как X-Frame-Options и Content-Security-Policy, чтобы защитить ваш сайт от атак и уязвимостей. Получите полное представление о безопасности заголовков и улучшите защиту вашего ресурса.
Техническая справка по заголовкам безопасности
Подробная информация о каждом заголовке безопасности и его важности:
Мощный заголовок безопасности, который помогает предотвратить XSS-атаки и другие атаки внедрения кода. Он позволяет вам указать, какие ресурсы (скрипты, стили, изображения и т.д.) могут быть загружены браузером.
default-src 'self'; script-src 'self' https://trusted.com;Начните с жесткой политики и постепенно смягчайте ее по мере необходимости. Всегда включайте директиву default-src.
Заставляет браузеры использовать HTTPS вместо HTTP для всех будущих запросов к вашему домену. Это помогает предотвратить атаки понижения протокола и перехват куки.
max-age=31536000; includeSubDomains; preloadИспользуйте длинный max-age (не менее 1 года) и включайте поддомены, если применимо.
Предотвращает встраивание вашего веб-сайта в iframes на других сайтах, защищая от атак clickjacking.
SAMEORIGINИспользуйте DENY, чтобы полностью запретить фрейминг, или SAMEORIGIN, чтобы разрешить фрейминг только с вашего собственного домена.
Включает встроенную в браузер фильтрацию XSS. Хотя современные браузеры отходят от этого заголовка, он обеспечивает дополнительный уровень защиты для старых браузеров.
1; mode=blockИспользуйте "1; mode=block", чтобы включить защиту и заблокировать страницу в случае обнаружения атаки.
Предотвращает MIME-sniffing браузерами, отклоняясь от заявленного типа содержимого, уменьшая риск атак drive-by download.
nosniffВсегда устанавливайте значение "nosniff", чтобы предотвратить MIME-определение типа.
Управляет тем, сколько информации о реферере должно быть включено в запросы. Это помогает защитить конфиденциальность пользователей, контролируя, какая информация передается на другие сайты.
strict-origin-when-cross-originИспользуйте "strict-origin-when-cross-origin" для хорошего баланса между безопасностью и функциональностью.
Контролирует, какие функции и API браузера могут использоваться на вашем веб-сайте. Это помогает предотвратить злоупотребление чувствительными функциями браузера.
geolocation=(), microphone=(), camera=()Отключите функции, которые вам не нужны, и тщательно контролируйте доступ к чувствительным функциям.
Позволяет веб-сайтам указать, какие центры сертификации должны быть доверены для вашего домена. Это помогает предотвратить атаки "человек посередине".
pin-sha256="base64=="; max-age=5184000Включите как минимум два пина и резервный план. Примечание: Этот заголовок устаревает в пользу Certificate Transparency.
Ключевые особенности
- Всесторонний анализ заголовков безопасности
- Проверка заголовков в реальном времени
- Подробные рекомендации для каждого заголовка
- Поддержка всех основных заголовков безопасности
- Понятные индикаторы состояния
Типичные случаи использования
- Аудиты безопасности веб-сайтов
- Проверка соответствия требованиям безопасности
- Тестирование веб-разработки
- Реализация политики безопасности
- Регулярный мониторинг безопасности
Как использовать
- Введите URL веб-сайта, который вы хотите проверить
- Нажмите кнопку "Проверить заголовки"
- Дождитесь завершения анализа
- Просмотрите результаты и рекомендации
- Реализуйте предложенные улучшения безопасности