Заголовки безопасности
Получает URL и оценивает его HTTP-заголовки безопасности: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и Permissions-Policy. Подсвечивает отсутствующие или слабые заголовки и даёт рекомендации.
Часто задаваемые вопросы
- Какие заголовки имеют наибольшее значение?
- HSTS активирует HTTPS, Content-Security-Policy блокирует XSS, X-Frame-Options блокирует кликджекинг, а X-Content-Type-Options блокирует MIME перехват. Отсутствие любого из них является распространенной уязвимостью.
- Моя структура устанавливает их автоматически?
- Обычно нет. Express, Django и Rails требуют явной настройки. Используйте шлем (Node), защиту Django или стойку. Cloudflare и Vercel позволяют переключаться одним щелчком мыши.
- Могут ли строгие заголовки сломать мой сайт?
- Да. Чрезмерно строгий CSP блокирует встроенные скрипты и стороннюю аналитику. Сначала протестируйте режим только отчета, устраните нарушения, а затем примените меры.