HTTP-заголовки безпеки — це однорядкові конфігурації сервера, які вказують браузерам, як обробляти контент вашого сайту. Вони запобігають широкому спектру атак — від клікджекінгу до XSS — без будь-яких змін у коді застосунку.
Шість критичних заголовків
1. Content-Security-Policy (CSP)
CSP є найпотужнішим заголовком для запобігання XSS-атакам. Він визначає білий список джерел, з яких можуть завантажуватися скрипти, стилі та інші ресурси. Відсутній CSP дозволяє будь-який скрипт з будь-якого джерела.
Почніть з політики лише для звітності, щоб перевірити порушення перед застосуванням:
Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-violations2. Strict-Transport-Security (HSTS)
HSTS змушує браузери використовувати HTTPS для всіх майбутніх запитів, навіть якщо користувач вводить http://. Без HSTS зловмисник у тій самій мережі може понизити ваше з'єднання.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload3. X-Frame-Options / frame-ancestors
Запобігає вбудовуванню ваших сторінок в iframe на інших сайтах (клікджекінг). Сучасна директива CSP frame-ancestors замінює старий заголовок X-Frame-Options.
4. X-Content-Type-Options
Зупиняє MIME-сніфінг браузера. Один рядок, максимальний захист:
X-Content-Type-Options: nosniff5. Referrer-Policy
Контролює, скільки інформації реферера включається у вихідні запити. strict-origin-when-cross-origin — рекомендоване значення за замовчуванням.
6. Permissions-Policy
Обмежує доступ до API браузера (камера, мікрофон, геолокація). Навіть якщо ви не використовуєте ці API, їх обмеження запобігає зловживанню сторонніми скриптами.
Як AISeen перевіряє ваші заголовки
Security Score AISeen перевіряє всі шість критичних заголовків, а також конфігурацію HTTPS, прапори cookie та витік інформації (розкриття версії сервера). Кожен відсутній або неправильно налаштований заголовок знімає бали з вашого рейтингу.