Заголовки безопасности X-Security

Заголовки X-Security защищают сайт от XSS атак (cross-site scripting, межсайтовый скриптинг), защищают посетителей сайта от загрузки вредоносного кода, добавленного хакерами и защищают сайт от «подмены клика».

В этой статье вы узнаете, как добавить 3 заголовка, которые сервер будет добавлять в ответ на каждый запрос к ресурсам сайта. Это простые снипеты для файла .htaccess, которые усилят безопасность вашего сайта.

Содержание:

• X-XSS-Protection
• X-Frame-Options
• X-Content-Type-Options

Объединение всех заголовков
Плагины
Проверка заголовков

Защита против XSS атак

Этот заголовок поможет защитить сайт от XSS атак. Добавьте этот снипет в файл .htaccess:

Никаких настроек не требуется, просто скопируйте и вставьте. Этот код добавляет заголовок X-XSS-Protection в ответы сервера. Большинство современных браузеров его понимают и будут использовать его против XSS атак.

Добавьте снипет в functions.php

Альтернативный способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:

Защита против подмены страницы и клик-джекинга

Суть в том, что посетителю показывается какая-то страница, где он кликает по какой-то кнопке. На самом деле поверх этой страницы находится какая-то другая прозрачная страница, по кнопке на которой посетитель в действительности деле кликает.

Примечание: На некоторых темах это правило отключает или ломает настройщик Вордпресс Внешний вид — Настроить. Если ваш настройщик перестал работать, не применяйте это правило.

Добавьте снипет в .htaccess

Никаких настроек не требуется, просто скопируйте и вставьте. Этот код добавляет заголовок X-Frame-Options в ответы сервера. Большинство современных браузеров понимают этот заголовок и будут использовать его, чтобы убедиться, что страница отображается только на своем домене.

Снипет в functions.php

Еще один способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:

Защита от отслеживания содержимого потока информации (Content Sniffing)

Этот тип атак проверяет содержимое потока информации, чтобы попытаться определить формат файлов данных внутри него и добавить свою информацию.

Добавьте этот код в .htaccess:

Никаких настроек не требуется, просто скопируйте и вставьте. Этот снипет добавляет заголовок X-Content-Type-Options в ответы сервера. Большинство современных браузеров понимают этот заголовок и будут использовать его, чтобы браузеры правильно интерпретировали типы файлов (css, javascript, шрифты, картинки, видео, и так далее).

Снипет в functions.php

Также вы можете добавить этот снипет на сайт через файл functions.php дочерней темы или с помощью специального плагина:

Объединение всех заголовков

Вы можете объединить все три заголовка в один:

Добавьте этот снипет в ваш .htaccess, никаких настроек не требуется.

Если вы не хотите использовать правило X-Frame-Options не добавляйте его, или закомментируйте:

Ваш сайт будет не так безопасен, но это определенно не большая проблема безопасности. Скорее всего, большинство сайтов в Интернете не имеют ни одного из этих заголовков и хорошо работают. Эти техники — дополнительные уровни защиты.

Плагин

Если вы не хотите добавлять код, вы можете добавить эти заголовки с помощью плагина:

Проверка заголовков

После того, как вы добавили эти заголовки, вы можете проверить их работу на этом сайте: securityheaders.com.

Или в браузере, инструмент Просмотреть код (Inspect):

Еше один способ — с помощью расширения для Google Chrome Live HTTP Headers. Для других браузеров это расширение тоже есть, смотрите в расширениях.

Включите плагин и зайдите на свой сайт. Загрузите страницу, вы увидите, какие заголовки добавил сервер:

Читайте также:

1. Остальные HTTP Заголовки безопасности

Надеюсь, статья была полезна. Оставляйте комментарии.