Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 555

HTTP-заголовки безопасности

ПроверилCybersecurity entrepreneur & security researcher

Что такое HTTP-заголовки безопасности?

HTTP-заголовки безопасностиЗаголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.


HTTP-заголовки безопасности — недорогой, но эффективный способ усилить веб-приложение за счёт встроенных защит браузера. Базовый набор включает 'Strict-Transport-Security' (HSTS), 'Content-Security-Policy' (CSP), 'X-Content-Type-Options: nosniff', 'X-Frame-Options' или 'frame-ancestors', 'Referrer-Policy', 'Permissions-Policy', 'Cross-Origin-Opener-Policy' и 'Cross-Origin-Resource-Policy'. Каждый заголовок снижает риск своего класса атак: даунгрейд протокола, MIME-sniffing, кликджекинг, утечка через referrer, злоупотребление возможностями браузера, кросс-доменная изоляция. Их следует устанавливать на все ответы (включая ошибки и API), проверять с помощью securityheaders.com или Mozilla Observatory и поддерживать как часть базовой конфигурации.

Примеры

  1. 01

    'Strict-Transport-Security: max-age=63072000; includeSubDomains; preload' для принудительного HTTPS.

  2. 02

    'Referrer-Policy: no-referrer' для внутренних админ-эндпоинтов, чтобы не раскрывать URL третьим сторонам.

Частые вопросы

Что такое HTTP-заголовки безопасности?

Заголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer. Относится к категории Безопасность приложений в кибербезопасности.

Что означает HTTP-заголовки безопасности?

Заголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.

Как защититься от HTTP-заголовки безопасности?

Защита от HTTP-заголовки безопасности обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия HTTP-заголовки безопасности?

Распространённые альтернативные названия: Защитные заголовки ответа.

Связанные термины

См. также