HTTP заголовки для безопасности

Браузеры с одной стороны, хотят усилить безопасность пользователей, а с другой стороны, хотят упростить работу программистов при работе с сайтом. Идя на уступки браузеры по умолчанию допускают определённые виды атак на сайт.

Чтобы не допустить их, добавьте в настройки вашего сервера следующие заголовки:

Сontent-Security-Policy: form-action 'self'; frame-ancestors 'none'; upgrade-insecure-requests - этот заголовок делает 3 вещи: разрешает отправку форм с вашего сайта только на него самого, запрещает показ страниц вашего сайта в iFrame и указывает браузеру, чтобы файлы для страницы загружались только по безопасному протоколу.
X-Frame-Options - этот заголовок уже устарел. Его функцию выполняет инструкция frame-ancestors 'none' заголовка Сontent-Security-Policy. Но за неимением таковой, мы проверяем наличие этого заголовка.
Access-Control-Allow-Origin не должен быть равен *. Данный заголовок разрешает загрузку файлов из любого источника.
X-Content-Type-Options: nosniff - для HTML, XML, CSS, JavaScript файлов указываем этот заголовок. Он запрещает снифинг по MimeType. То есть операцию, когда браузер интерпретирует файл самостоятельно вопреки заголовку Content-Type.
Заголовки Server, X-Powered-By, X-Aspnet-Version, X-Aspnetmvc-Version - нужно удалить. Он снабжает потенциального злоумышленника информацией об используемом ПО на вашем сервере.

◀ Включённый показ ошибок на севере Уязвимый код JavaScript ▶

Есть замечания или дополнения? Напишите нам на почту admin@quick-site-upgrade.com.

Проверьте ваш сайт