Семь важных заголовков безопасности для вашего веб-сайта

В этом руководстве мы рассмотрим семь наиболее важных и эффективных HTTP-заголовков безопасности, которые помогут усилить защиту вашего веб-сайта, работающего на Apache

Рейтинг на основе отзывов:
Звезд получено: 0
Oтзывов всего: 0
Средняя оценка: 0
Опубликовано в: Блог пользователей

Семь важных заголовков безопасности для вашего веб-сайта

 

При обеспечении безопасности вашего веб-сайта важно минимизировать потенциальные уязвимости и добавлять дополнительные уровни защиты. Одним из таких уровней, который вы можете (и должны) добавить, являются правильные HTTP-заголовки безопасности.

При обработке запросов сервер должен включать заголовки безопасности, которые помогают предотвратить атаки, такие как XSS (межсайтовый скриптинг), MITM (атаки "человек посередине") и кликджекинг. Хотя заголовки безопасности не гарантируют 100% защиту от всех атак, они помогают современным браузерам обеспечивать более высокий уровень безопасности.

В этом руководстве мы рассмотрим семь наиболее важных и эффективных HTTP-заголовков безопасности, которые помогут усилить защиту вашего веб-сайта, работающего на Apache.

Содержание

  1. X-XSS-Protection
  2. X-Frame-Options
  3. X-Content-Type-Options
  4. HTTP Strict Transport Security (HSTS)
  5. Referrer-Policy
  6. Feature-Policy
  7. Content-Security-Policy
  8. Итоговая конфигурация

Примечание: Вы можете проверить заголовки безопасности вашего сайта с помощью бесплатного онлайн-инструмента, например SecurityHeaders.com.


1. X-XSS-Protection

Заголовок безопасности X-XSS-Protection включает фильтр XSS, встроенный в современные браузеры (IE8+, Chrome, Firefox, Safari и др.).

Рекомендуемая настройка:

# X-XSS-Protection
<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

Добавьте этот код в .htaccess или файл конфигурации сервера, чтобы браузер блокировал любые вредоносные скрипты.

Дополнительные ресурсы:


2. X-Frame-Options

Заголовок X-Frame-Options (XFO) защищает пользователей от атак типа clickjacking (встраивание вредоносных страниц в iframe).

Рекомендуемая настройка:

# X-Frame-Options
<IfModule mod_headers.c>
    Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

Этот код запрещает загрузку содержимого в iframe с других доменов, но разрешает встраивание внутри самого сайта.

Дополнительные ресурсы:


3. X-Content-Type-Options

Заголовок X-Content-Type-Options предотвращает атаки с подменой MIME-типов (MIME-type sniffing).

Рекомендуемая настройка:

# X-Content-Type-Options
<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
</IfModule>

Этот заголовок запрещает браузерам игнорировать MIME-тип, установленный сервером, что предотвращает некоторые виды атак.

Дополнительные ресурсы:


4. HTTP Strict Transport Security (HSTS)

Заголовок Strict-Transport-Security (HSTS) заставляет браузеры использовать только HTTPS.

Рекомендуемая настройка:

# Strict-Transport-Security
<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

Этот код заставляет браузеры автоматически перенаправлять HTTP-запросы на HTTPS, предотвращая атаки типа MITM.

Дополнительные ресурсы:


5. Referrer-Policy

Заголовок Referrer-Policy управляет передачей информации о предыдущей странице (реферере).

Рекомендуемая настройка:

# Referrer-Policy
<IfModule mod_headers.c>
    Header set Referrer-Policy "same-origin"
</IfModule>

Этот код разрешает передачу реферера только внутри текущего домена.

Дополнительные ресурсы:


6. Feature-Policy (Permissions-Policy)

Заголовок Feature-Policy (переименован в Permissions-Policy) управляет доступом веб-страницы к API браузера.

Рекомендуемая настройка:

# Feature-Policy (Permissions-Policy)
<IfModule mod_headers.c>
    Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
</IfModule>

Этот код разрешает доступ к геолокации только для текущего сайта и запрещает вибрацию.

Дополнительные ресурсы:


7. Content-Security-Policy (CSP)

Заголовок Content-Security-Policy (CSP) предотвращает атаки XSS, контролируя, какие ресурсы можно загружать на страницу.

Пример 1 – Разрешить загрузку только с CDN:

# Content-Security-Policy
<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src https://cdn.example.com; child-src 'none'; object-src 'none'"
</IfModule>

Пример 2 – Ограничить скрипты и стили:

# Content-Security-Policy
<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'none'; img-src 'self'; script-src 'self' https://code.jquery.com; style-src 'self'"
</IfModule>

Дополнительные ресурсы:


Финальная настройка

Вот итоговая конфигурация всех рассмотренных заголовков безопасности:

# Security Headers
<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Frame-Options "SAMEORIGIN"
    Header set X-Content-Type-Options "nosniff"
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
    Header set Referrer-Policy "same-origin"
    Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
</IfModule>

Перед добавлением этих заголовков убедитесь, что они соответствуют требованиям вашего сайта, и тщательно протестируйте перед внедрением.

 Блог • Автор: Джефф Старр

Использование HTTP-заголовков безопасности – важный шаг в защите веб-сайта от киберугроз!



Отзывы

Отзывов пока нет


Комментарии (0)

Комментарии отсутствуют
Добавление комментариев доступно только зарегистрированным пользователям

Похожие страницы

Теги заголовков H1-H6 для структурирования контента.
1 Используйте теги заголовков H1-H6 для структурирования контента. Тег заголовка используется для выражения того, что
Инструменты для тестирования скорости веб-сайтов на 2024 год
2 Скорость быстродействия сайта и время затраченное на загрузку его конкретной веб-страницы - это похожие, но очень
От <H1> до <H6>: Как использовать теги заголовков.
3 Важно создавать контент, который не только привлекает ваших читателей, но и занимает высокие позиции на страницах
Плагин "Cryptonator" для сайта "Фриланс-Биржа"
4 Плагин "Cryptonator" для сборки "Фриланс-Биржа" на CMF Cotonti Siena позволяет организовать прием
Политика информационной безопасности и обеспечения безопасности онлай платежей
5 Правила обеспечения безопасности платежей с использованием банковских карт VISA International, MasterCard и других

Автор контента

webitproff

Оффлайн

Carbonate Sodium

Последняя авторизация: 19.07.2026 22:29

  • Чем могу помочь?

    Оказываю весь спектр услуг по CMF Cotonti. Разработка открытых и закрытых корпоративных интернет порталов, небольших социальных сетей, торговые площадки, маркетплейсы, биржи фриланса, каталоги товаров оптовых поставщиков, интернет-магазин под заказ, чтобы делать совместные покупки и групповые совместные продажи от имени нескольких продавцов.

  • Разработки на GitHub бесплатно
    • Страница размещена: 11.02.2025 19:26
    • Последнее обновление: 11.02.2025 19:31