Большая часть уязвимостей безопасности может быть исправлена путем реализации конкретных заголовков в заголовке ответа сервера. Заголовки HTTP Security представляют собой еще один уровень безопасности, помогая смягчить вторжения и уязвимости безопасности. Мы рассмотрим некоторые из них, чтобы помочь вам лучше узнать их цель и как их реализовать.
Что такое заголовки HTTP Security?
Всякий раз, когда браузер запрашивает страницу на любом веб -сервере, сервер отвечает контентом вместе с заголовками ответов HTTP. Эти заголовки HTTP Security сообщают браузеру, как вести себя при обработке контента веб -сайта.
Политика безопасности контента
Заголовок политики безопасности контента реализует дополнительный уровень безопасности. Эта политика помогает предотвратить такие атаки, как сценарии поперечного сайта (XSS) и другие атаки впрыскивания кода, ограничивая одобренные источники контента и, таким образом, позволяя браузеру загружать их.
X-frame-options
Заголовок ответа x-frame-options используется для указания, разрешено ли браузере выполнять страницу в теге HTML «Frame», «iframe» или «Object». Сайты и приложения могут использовать это, чтобы уклониться от атак, гарантируя, что их контент не может быть включен в другие сайты.
X-XSS-защита
Заголовок X-XSS-защиты предназначен для защиты от перекрестных сценариев.
X-контент-тип-опции
Заголовок x-content-type-options используется, чтобы указать, что типы MIME, записанные в заголовках типа контента, не должны изменяться. Это защищает вас от понюхания типа Mime.
HTTP строгая транспортная безопасность
Строгий заголовок транспортной безопасности (HSTS) позволяет приложению информировать браузеры, что к нему следует получить доступ только с помощью HTTPS вместо HTTP. Если веб-сайт или приложение позволяют подключаться через HTTP перед перенаправлением на HTTPS, посетители могут общаться с не засохленной версией сайта перед перенаправлением, которая создает возможность для атак человека в среднем. При первом взаимодействии с веб -сайтом браузер не будет знать о политике HSTS для хоста, поэтому первоначальное общение происходит над HTTP. Чтобы решить эту проблему, браузеры содержат предварительно загруженный список сайтов, настроенных для строгой транспортной безопасности. HSTS, как правило, устанавливается на значение «максимального возраста», которое достаточно высокое, чтобы сохранить кэшированный веб-сайт в учетной записи HSTS на всю указанную продолжительность.
Более подробная версия с реализацией на разных серверах с графическим представлением опубликована по адресу: https://beaglesecurity.com/blog/blogs/2020/06/27/hardening-server-security-by-implementing-security headers.html
Оригинал: «https://dev.to/manindar_m/hardening-server-security-by-implementing-security-headers-2hp4»