Анализ HTTP заголовков безопасности
Проверка заголовков безопасности: CSP, HSTS, X-Frame-Options и общая оценка защищённости сайта.
Зачем проверять HTTP заголовки безопасности?
Заголовки безопасности — это HTTP-заголовки, которые сервер отправляет вместе с ответом. Они защищают сайт и пользователей от XSS-атак, кликджекинга, перехвата трафика и других угроз.
Ключевые заголовки безопасности
- Strict-Transport-Security (HSTS) — принудительное использование HTTPS
- Content-Security-Policy (CSP) — защита от XSS и инъекций кода
- X-Frame-Options — защита от встраивания в iframe (кликджекинг)
- X-Content-Type-Options — защита от MIME-sniffing
- Referrer-Policy — контроль передачи реферера
- Permissions-Policy — контроль доступа к API браузера
Вопросы и ответы
Всё о заголовках безопасности HTTP
Косвенно — да. Google учитывает безопасность сайта при ранжировании. HTTPS обязателен, а правильные заголовки повышают доверие к сайту и снижают риск взлома.
Для Apache — через .htaccess или httpd.conf. Для Nginx — в блоке server или location. Для Node.js — через middleware (helmet.js). Для PHP — через функцию header().
Content-Security-Policy ограничивает источники, из которых браузер может загружать ресурсы. Это мощная защита от XSS-атак и несанкционированного выполнения скриптов.