W tym artykule
Czym są nagłówki bezpieczeństwa HTTP?
Nagłówki bezpieczeństwa HTTP to nagłówki odpowiedzi, które instruują przeglądarki, jak obsługiwać treści Twojej strony. Tworzą krytyczną warstwę obrony przed atakami XSS, clickjacking i degradacji protokołu.
Są częścią odpowiedzi HTTP serwera. Nic nie kosztują, nie wymagają zmian kodu i chronią wszystkich odwiedzających. OWASP zaleca je dla każdej strony produkcyjnej.
Jak działają nagłówki bezpieczeństwa HTTP
Każdy nagłówek kontroluje określony aspekt zachowania przeglądarki, tworząc wiele warstw ochrony.
- Content-Security-Policy (CSP) — definiuje zaufane źródła skryptów, stylów i obrazów, zapobiegając XSS
- Strict-Transport-Security (HSTS) — wymusza HTTPS we wszystkich przyszłych żądaniach, zapobiegając atakom degradacji
- X-Frame-Options i X-Content-Type-Options — zapobiegają clickjackingowi i MIME-sniffingowi
Wypróbuj za darmo — bez rejestracji
Wygeneruj nagłówki bezpieczeństwa →Kiedy konfigurować nagłówki bezpieczeństwa
Nagłówki bezpieczeństwa należy konfigurować na każdej stronie produkcyjnej.
- Zapobieganie atakom XSS — CSP to najskuteczniejsza obrona na poziomie przeglądarki
- Wymuszanie HTTPS — HSTS z preload gwarantuje HTTPS nawet przy pierwszej wizycie
- Wymagania zgodności — PCI DSS, SOC 2 i HIPAA wymagają nagłówków bezpieczeństwa
Często zadawane pytania
Co to jest tryb report-only CSP?
Content-Security-Policy-Report-Only wysyła raporty o naruszeniach bez blokowania zasobów. Pozwala testować nową politykę CSP w produkcji.
Jak działa HSTS preload?
HSTS preload to lista producentów przeglądarek wymuszająca dostęp HTTPS dla wymienionych domen. Wymagania: nagłówek HSTS z max-age minimum rok, includeSubDomains i dyrektywa preload.
Jak przetestować moje nagłówki bezpieczeństwa?
Użyj narzędzi jak securityheaders.com lub Mozilla Observatory. Możesz też sprawdzić nagłówki w DevTools przeglądarki w zakładce Sieć.