Sprawdź nagłówki bezpieczeństwa HTTP

Czym są nagłówki bezpieczeństwa HTTP?

Nagłówki bezpieczeństwa HTTP to instrukcje wysyłane przez serwer do przeglądarki, które definiują polityki bezpieczeństwa strony. Prawidłowo skonfigurowane nagłówki chronią przed najczęstszymi atakami webowymi: XSS (Cross-Site Scripting), clickjacking, MIME sniffing i innymi.

Które nagłówki sprawdzamy?

Strict-Transport-Security (HSTS) — wymusza użycie HTTPS. Bez niego użytkownik może przypadkowo połączyć się przez nieszyfrowane HTTP, nawet jeśli strona obsługuje HTTPS.

Content-Security-Policy (CSP) — definiuje, skąd przeglądarka może ładować skrypty, style, obrazy i inne zasoby. Najskuteczniejsza ochrona przed atakami XSS.

X-Frame-Options — zapobiega osadzaniu strony w ramkach (iframe) na obcych domenach, chroniąc przed atakami clickjacking.

X-Content-Type-Options — zapobiega MIME sniffing, czyli próbom przeglądarki odgadnięcia typu pliku. Wartość "nosniff" wymusza respektowanie deklarowanego Content-Type.

Referrer-Policy — kontroluje, ile informacji o stronie źródłowej jest przekazywane w nagłówku Referer przy nawigacji.

Permissions-Policy — ogranicza dostęp do API przeglądarki (kamera, mikrofon, geolokalizacja), zmniejszając powierzchnię ataku.

System ocen

Każdy nagłówek ma przypisaną wagę punktową. Suma punktów jest przeliczana na ocenę: A+ (90-100), A (80-89), B (70-79), C (50-69), D (30-49), F (poniżej 30). Większość stron internetowych otrzymuje ocenę C lub niższą — co pokazuje, jak powszechnie zaniedbywane jest bezpieczeństwo nagłówków HTTP.