»  Безопасность  »  Заголовки безопасности

Заголовки безопасности

Последнее обновление:

HTTP Заголовки безопасностиКогда пользователь приходит на сайт через свой браузер, сервер добавляет к ответам HTTP заголовки, в том числе HTTP заголовки безопасности.

Эти заголовки говорят браузеру, как себя вести при общении с сайтом. В основном эти заголовки состоят из метаданных.

Вы можете использовать эти заголовки, чтобы наметить связь сервера и браузера, и улучшить безопасность сайта.

Содержание:

Плагины
Проверка заголовков

HSTS — HTTP-Strict-Transport-Security

Этот заголовок говорит серверу использовать только безопасное HTTPS соединение и не использовать небезопасное HTTP подключение.

Перед применением настройки убедитесь, что у сайта есть и корректно работает SSL сертификат.

Чтобы добавить этот заголовок откройте файл .htaccess и добавьте этот код:

Если у сайта есть субдомены, вы можете добавить директиву includeSubDomains, то есть:

Добавьте снипет в functions.php

Альтернативный способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:

HSTS на Cloudflare

Еще один способ добавить заголовок HSTS — включить его в панели Cloudflare, если вы им пользуетесь:

Внимание: после включения HSTS ваш сайт должен будет всегда иметь действительный SSL сертификат, иначе сайт станет недоступен для пользователей до истечения срока действия кэшированных заголовков Max-Age или до тех пор, пока не будет восстановлен HTTPS c заголовком HSTS со значением 0.

Здесь вы можете подавать заявку на добавление вашего сайта в списки браузеров, в которые добавлены сайты доступные только по HTTPS.

Referrer-Policy

Этот заголовок позволяет сайту контролировать, сколько информации браузер может иметь, когда уходит с сайта. То есть позволяет контролировать, какие сайты сайты могут видеть откуда пришел посетитель.

Рекомендуемое значение same-origin дает вам возможность отслеживать перемещение посетителей внутри вашего сайта, но другие сайты не будут знать, что посетитель пришел с вашего сайта.

Добавьте этот снипет в .htaccess:

Снипет в functions.php

Или добавьте в functions.php дочерней темы или с помощью специального плагина:

Feature-Policy

Этот новый заголовок, который позволяет сайту контролировать какакие функции и API могут использовать браузеры.

Вы можете запретить браузеру использовать камеру, микрофон, геолокацию и другие функции. Полный список.

Обратите внимание, этот пример отключает все функции. Если ваш сайт использует какие-то функции, удалите все ненужное или перейдите на сайт Мозиллы для инструкции.

Добавьте в .htaccess этот код:

Functions.php

Снипет для functions.php:

Content-Security-Policy

Это эффетивное средство для защиты сайта от XSS атак. Этот заголовок говорит браузерам загружать контент только из разрешенных источников.

Вы разрешаете браузерам использовать только одобренный контент, и это поможет избежать загрузки вредоносного контента браузером.

Внимание: Если вы загружаете скрипты с других сайтов, например, скрипты Яндекс или Гугл Аналитики, этот заголовок может нарушить функционал сайта. Протестируйте перед применением.

В этом примере заголовок говорит браузерам загружать скрипты javascript .js только с этого сайта. Обратите внимание, что строчный (inline) код не будет работать.

Добавьте этот снипет в .htaccess:

Плагины

Если вы не хотите добавлять код, вы можете добавить эти заголовки с помощью плагинов:

Проверка сайта на безопасность заголовков

Самый простой способ проверить, какие заголовки присутствуют на вашем сайте: securityheaders.com.

Или в браузере, инструмент Просмотреть код (Inspect):

Гугл Хром, проверка 301 редиректа
Правая кнопка мыши — Просмотреть код — Сеть — Заголовки

Еше один способ — с помощью расширения для Google Chrome Live HTTP Headers. Для других браузеров это расширение тоже есть, смотрите в расширениях.

Включите плагин и зайдите на свой сайт. Загрузите страницу, вы увидите, какие заголовки добавил сервер.

Читайте также:

  1. HTTP заголовки X-Security

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!