У цій статті
Що таке HTTP-заголовки безпеки?
HTTP-заголовки безпеки — це заголовки відповіді, які вказують браузерам, як поводитися з контентом вашого сайту. Вони формують критичний рівень захисту від поширених атак: XSS, клікджекінг та атаки зниження протоколу.
Заголовки безпеки є частиною HTTP-відповіді сервера. Вони не коштують нічого, не потребують змін коду та захищають усіх відвідувачів. OWASP рекомендує їх для кожного продакшн-сайту.
Як працюють HTTP-заголовки безпеки
Кожен заголовок контролює певний аспект поведінки браузера, створюючи багато рівнів захисту.
- Content-Security-Policy (CSP) — визначає довірені джерела скриптів, стилів та зображень, запобігаючи XSS
- Strict-Transport-Security (HSTS) — примушує браузери використовувати HTTPS, запобігаючи атакам зниження протоколу
- X-Frame-Options та X-Content-Type-Options — запобігають клікджекінгу та MIME-сніфінгу
Спробуйте безкоштовно — реєстрація не потрібна
Створити заголовки безпеки →Коли налаштовувати заголовки безпеки
Заголовки безпеки повинні бути налаштовані на кожному продакшн-сайті.
- Запобігання XSS-атакам — CSP — найефективніший захист на рівні браузера
- Примусовий HTTPS — HSTS з preload гарантує HTTPS навіть при першому відвідуванні
- Вимоги відповідності — PCI DSS, SOC 2 та HIPAA вимагають заголовки безпеки
Часті питання
Що таке режим report-only CSP?
Content-Security-Policy-Report-Only надсилає звіти про порушення на вказаний endpoint без блокування ресурсів. Це дозволяє тестувати нову політику CSP у продакшні без поломки сайту.
Як працює HSTS preload?
HSTS preload — це список виробників браузерів, який примусово використовує HTTPS для вказаних доменів. Для відповідності: HSTS-заголовок з max-age щонайменше рік, includeSubDomains та директива preload.
Як перевірити мої заголовки безпеки?
Використовуйте інструменти на кшталт securityheaders.com або Mozilla Observatory. Також можна перевірити заголовки у DevTools браузера на вкладці Network.