Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Проверка заголовков безопасности

Укажите URL своего сайта, чтобы оценить его HTTP-заголовки безопасности (CSP, HSTS, X-Frame-Options, …), с исправлениями для недостающих и готовым набором для копирования.

Сервер этого сайта один раз запрашивает целевой URL и оценивает только заголовки ответа (тело не сохраняется). Доступ к внутренним / приватным адресам заблокирован.
Попробовать пример (проверить сам этот сайт)
B
Общая оценка
86 / 100
https://itdef.net/ja
  • Content-Security-PolicyСлабый
    Текущее значение: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
    Ключевой уровень, снижающий влияние XSS. Избегайте unsafe-inline. default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
  • Strict-Transport-Security (HSTS)OK
    Текущее значение: max-age=63072000; includeSubDomains; preload
  • X-Frame-OptionsOK
    Текущее значение: DENY
  • X-Content-Type-OptionsOK
    Текущее значение: nosniff
  • Referrer-PolicyOK
    Текущее значение: strict-origin-when-cross-origin
  • Permissions-PolicyOK
    Текущее значение: camera=(), microphone=(), geolocation=(), browsing-topics=()
  • Cross-Origin-Opener-PolicyOK
    Текущее значение: same-origin-allow-popups
  • Раскрытие информации (Server / X-Powered-By)OK

Промпт для ИИ по устранению (скопировать и вставить)

Вставьте в Claude / ChatGPT, чтобы получить конкретные исправления для вашего стека.

Ты эксперт по веб-безопасности. На моём сайте (https://itdef.net/ja) отсутствуют некоторые HTTP-заголовки безопасности. Только в защитных целях расскажи, как безопасно настроить следующее на моём сервере/фреймворке (nginx / Caddy / Apache / Next.js и т. п.) с конкретными примерами кода. Если не знаешь, какой у меня сервер, спроси. Также расскажи, как потом проверить, что заголовки применены правильно.

- Content-Security-Policy(слабый)→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

Примечание: сохрани работу существующего поведения (аналитика, реклама) — сделай конфигурацию обратно совместимой. Техники атак или обхода не нужны.

Рекомендуемые заголовки (отправная точка для копирования)

Начните с того, чтобы возвращать их с вашего сервера (nginx / Caddy / приложение).

Content-Security-Policy: default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

Как пользоваться

  1. 1

    Укажите URL сайта, которым вы управляете.

  2. 2

    Основные заголовки безопасности оцениваются на наличие и надёжность.

  3. 3

    Усильте «отсутствующие» / «слабые» пункты, используя показанные исправления и рекомендуемый набор.

Почему это важно

Заголовки безопасности — дешёвый и эффективный уровень защиты. CSP ограничивает влияние XSS, HSTS закрепляет трафик за HTTPS, X-Frame-Options блокирует кликджекинг — каждый из них занимает несколько строк конфигурации сервера. Начните со строгих настроек и ослабляйте только при необходимости.

Частые вопросы

QМожно ли проверять чужой сайт?
A

Инструмент один раз запрашивает URL и читает заголовки ответа — без активного сканирования или атак (тот же объём, что и при открытии в браузере). Он предназначен для проверки вашего собственного сайта.

QОпасно ли всё, что ниже A?
A

Нет. Некоторые заголовки нужны не каждому сайту. Важные — это CSP, HSTS, X-Frame-Options и X-Content-Type-Options; если они на месте, вы в хорошей форме.

Похожие страницы