Заголовки безопасности HTTP
Проанализируйте заголовки безопасности, которые отправляет веб-сайт.
Заголовки безопасности HTTP сообщают браузеру, как защитить ваших пользователей от атак вроде кликджекинга, XSS или анализа содержимого (sniffing). Этот инструмент загружает сайт и проверяет, какие заголовки безопасности присутствуют, показывая их значение и оценку.
Часто задаваемые вопросы о заголовках безопасности
HSTS (Strict-Transport-Security) заставляет браузер всегда подключаться к вашему домену по HTTPS, предотвращая атаки, которые пытаются понизить соединение до HTTP. Это один из важнейших заголовков безопасности.
CSP определяет, с каких источников сайт может загружать ресурсы (скрипты, стили, изображения...). При правильной настройке это самая надёжная защита от атак XSS, поскольку она блокирует выполнение неавторизованного кода.
Он не позволяет загружать ваш сайт внутри iframe на другом сайте, защищая от кликджекинга (обмана пользователя, чтобы он нажал на то, что не видит). Сегодня этого также можно добиться с помощью директивы frame-ancestors в CSP.
Нет: это важный уровень эшелонированной защиты, но реальная безопасность также зависит от кода, аутентификации, зависимостей и конфигурации сервера. Этот инструмент оценивает только заголовки ответа.
Готовы улучшить свой DNS?
Выберите лучший бесплатный DNS-сервер для ваших нужд и настройте его за считанные минуты.