Bezpečnostní hlavičky
Načte URL a vyhodnotí její HTTP bezpečnostní hlavičky: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy a Permissions-Policy. Zvýrazní chybějící nebo slabé hlavičky a přidá doporučení.
Často kladené otázky
- Na kterých hlavičkách záleží nejvíce?
- HSTS vynutí HTTPS, Content-Security-Policy blokuje XSS, X-Frame-Options blokuje clickjacking a X-Content-Type-Options blokuje MIME čichání. Chybějící některá z těchto chyb je běžnou chybou zabezpečení.
- Nastavuje je můj framework automaticky?
- Obvykle ne. Express, Django a Rails vyžadují explicitní konfiguraci. Použijte helmu (Node), django-secure nebo rack-ochranu. Cloudflare a Vercel nabízejí přepínání jedním kliknutím.
- Mohou přísná záhlaví narušit můj web?
- Ano. Příliš přísné CSP blokuje vložené skripty a analýzy třetích stran. Nejprve otestujte v režimu pouze hlášení, opravte porušení a poté vynucujte.