Генератор заголовков безопасности HTTP

Настройте заголовки безопасности HTTP для вашего веб-сервера

Оценка безопасностиB (4/6)

Strict-Transport-Security (HSTS)

Заставляет браузеры использовать HTTPS. Рекомендуется: включить с max-age 1 год.

Max-Age (секунды)

Включить поддоменыPreload

Content-Security-Policy (CSP)

Контролирует, какие ресурсы браузер может загружать. Начните с режима report-only.

X-Frame-Options

Предотвращает встраивание вашей страницы в iframe на других сайтах.

X-Content-Type-Options

Предотвращает определение MIME-типа. Всегда установлен на nosniff.

nosniff

Referrer-Policy

Контролирует объём информации referrer, отправляемой с запросами.

Permissions-Policy

Контролирует, какие функции браузера может использовать ваш сайт.

Сгенерированная конфигурация

# Security Headers
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Ctrl+Enter выполнитьCtrl+Shift+C скопировать

Узнать больше

HTTP Security Headers: Protect Your Website

Configure essential security headers for your web server.

Что такое HTTP-заголовки безопасности?

HTTP-заголовки безопасности — это заголовки ответа, указывающие браузерам, как обрабатывать контент вашего сайта. Они формируют критический уровень защиты от атак XSS, кликджекинга и даунгрейда протокола.

6 мин чтенияЧитать полное руководство