HTTP-заголовки безопасности
Что такое HTTP-заголовки безопасности?
HTTP-заголовки безопасностиЗаголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.
HTTP-заголовки безопасности — недорогой, но эффективный способ усилить веб-приложение за счёт встроенных защит браузера. Базовый набор включает 'Strict-Transport-Security' (HSTS), 'Content-Security-Policy' (CSP), 'X-Content-Type-Options: nosniff', 'X-Frame-Options' или 'frame-ancestors', 'Referrer-Policy', 'Permissions-Policy', 'Cross-Origin-Opener-Policy' и 'Cross-Origin-Resource-Policy'. Каждый заголовок снижает риск своего класса атак: даунгрейд протокола, MIME-sniffing, кликджекинг, утечка через referrer, злоупотребление возможностями браузера, кросс-доменная изоляция. Их следует устанавливать на все ответы (включая ошибки и API), проверять с помощью securityheaders.com или Mozilla Observatory и поддерживать как часть базовой конфигурации.
● Примеры
- 01
'Strict-Transport-Security: max-age=63072000; includeSubDomains; preload' для принудительного HTTPS.
- 02
'Referrer-Policy: no-referrer' для внутренних админ-эндпоинтов, чтобы не раскрывать URL третьим сторонам.
● Частые вопросы
Что такое HTTP-заголовки безопасности?
Заголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer. Относится к категории Безопасность приложений в кибербезопасности.
Что означает HTTP-заголовки безопасности?
Заголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.
Как защититься от HTTP-заголовки безопасности?
Защита от HTTP-заголовки безопасности обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия HTTP-заголовки безопасности?
Распространённые альтернативные названия: Защитные заголовки ответа.