İçeriğe geç
uxTools
Güvenlik & Kripto

HTTP Güvenlik Başlıkları Rehberi

Temel HTTP güvenlik başlıklarına göz atın, önerilen değerlerini kopyalayın ve NGINX, Apache veya Node için yapıştırmaya hazır bir yapılandırma parçacığı oluşturun.

10 başlıktan 5 tanesi seçildi

Strict-Transport-Security

Forces browsers to use HTTPS for future requests, preventing protocol-downgrade and cookie-hijacking attacks over insecure connections.

Önerilen değer
max-age=63072000; includeSubDomains; preload

Content-Security-Policy

Whitelists the sources a page may load scripts, styles, frames and other resources from, the primary defense against cross-site scripting (XSS) and data injection.

Önerilen değer
default-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'

X-Frame-Options

Blocks the page from being embedded in a frame or iframe, defending against clickjacking. Superseded by CSP frame-ancestors but still respected by older browsers.

Önerilen değer
DENY

X-Content-Type-Options

Stops browsers from MIME-sniffing a response away from its declared Content-Type, preventing scripts from being executed from non-script responses.

Önerilen değer
nosniff

Referrer-Policy

Controls how much of the originating URL is sent in the Referer header, limiting leakage of sensitive paths and query strings to other origins.

Önerilen değer
strict-origin-when-cross-origin

Permissions-Policy

Selectively enables or disables powerful browser features (camera, microphone, geolocation, etc.) for the page and any embedded frames.

Önerilen değer
geolocation=(), camera=(), microphone=()

Cross-Origin-Opener-Policy

Isolates the page's browsing context from cross-origin windows, mitigating cross-window attacks and enabling features that require cross-origin isolation.

Önerilen değer
same-origin

Cross-Origin-Embedder-Policy

Requires that cross-origin resources explicitly grant permission to be embedded, a prerequisite (with COOP) for cross-origin isolation and high-resolution timers.

Önerilen değer
require-corp

Cross-Origin-Resource-Policy

Limits which origins may embed this resource, blocking side-channel attacks such as Spectre that read cross-origin responses.

Önerilen değer
same-origin

X-XSS-Protection

Kullanımdan kaldırıldı

Toggled the legacy XSS auditor built into older browsers. Modern browsers have removed it and it can introduce vulnerabilities, so it should be disabled.

Önerilen değer
0
Oluşturulan yapılandırma
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header Content-Security-Policy "default-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Bu başlıklar hakkında

Güvenlik başlıkları, tarayıcıya HTTPS'yi zorunlu kılma, çerçeveye almayı engelleme, kaynak kökenlerini kısıtlama ve yönlendiren (referrer) sızıntısını sınırlama gibi ek korumalar uygulamasını söyleyen yanıt başlıklarıdır. Bunları sunucunuzda veya CDN kenarında uygulayın ve sonucu bir tarayıcıyla doğrulayın. Buradaki önerilen değerler makul varsayılanlardır; dağıtımdan önce Content-Security-Policy ve Permissions-Policy değerlerini uygulamanızın gerçek ihtiyaçlarına göre ayarlayın.