HTTP güvenlik başlıkları, tarayıcıya sayfanın nasıl işleneceğini ve hangi güvenlik politikalarının uygulanacağını söyleyen yanıt header'larıdır. Doğru yapılandırıldığında XSS, clickjacking, MIME sniffing gibi saldırıları önler. Bu rehberde en önemli başlıkları inceleyeceğiz.
X-Frame-Options
X-Frame-Options: DENY veya SAMEORIGIN ile sayfanızın iframe içinde gösterilmesini engelleyin. Bu clickjacking saldırılarını önler. Saldırgan sayfanızı şeffaf iframe'de gösterip "Tıklayın" butonunun üzerine yerleştirebilir; kullanıcı sizin formunuza tıkladığını sanırken aslında başka bir işlem yapar.
Content-Security-Policy (CSP)
CSP, tarayıcıya hangi kaynaklardan script, stil, resim yükleneceğini söyler. script-src 'self' ile inline script'leri ve harici script'leri kısıtlayarak XSS riskini azaltırsınız. Başlangıçta Content-Security-Policy-Report-Only ile test edin; yanlış yapılandırma sitenizi bozabilir.
Strict-Transport-Security (HSTS)
HSTS başlığı, tarayıcıyı her zaman HTTPS kullanmaya zorlar. max-age=31536000; includeSubDomains ile 1 yıl süreyle ve alt domainler dahil etkinleştirin. İlk kurulumda HTTP'den erişilebilir olduğunuzdan emin olun; aksi halde kullanıcılar kilitlenebilir.
SiteGüvenlikTesti HTTP başlık analizi modülü ile tüm başlıklarınızı ücretsiz kontrol edebilirsiniz.