Biztonsági fejlécek
Lekér egy URL-t, és pontozza annak HTTP biztonsági fejléceit: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy és Permissions-Policy. Kiemeli a hiányzó vagy gyenge fejléceket, és javaslatokat ad.
Gyakran ismételt kérdések
- Melyik fejléc számít leginkább?
- A HSTS a HTTPS, Content-Security-Policy, XSS, X-Frame-Options blokkolja a csattanást, a X-Content-Type-Options pedig a MIME szimatolást. Ezek bármelyikének hiánya gyakori sebezhetőség.
- A keretrendszerem automatikusan beállítja ezeket?
- Általában nem. Az Express, Django és Rails kifejezett konfigurációt igényel. Használjon sisakot (Node), django-secure-t vagy rack-védőt. A Cloudflare és a Vercel egykattintásos kapcsolót kínál.
- Megtörhetik a szigorú fejlécek a webhelyemet?
- Igen. A túl szigorú CSP blokkolja a soron belüli szkripteket és a harmadik féltől származó elemzéseket. Először tesztelje csak jelentés módban, javítsa ki a szabálysértéseket, majd hajtsa végre.