Заголовки безопасности X-Security

Заголовки X-Security
Заголовки X-Security защищают веб-сайт от XSS атак( cross-site scripting, межсайтовый скриптинг), защищают пользователей веб-сайта от загрузки вредоносного кода, добавленного хакерами и защищают веб-сайт от «подмены клика».

В данной статье вы узнаете, как добавить 3 заголовка, которые сервер будет добавлять в ответ на каждый запрос к ресурсам веб-сайта. Это простые снипеты для файла .htaccess, которые усилят безопасность веб-сайта.

В данной статье мы рассмотрим:

  • X-XSS-Protection
  • X-Frame-Options
  • X-Content-Type-Options

Объединение всех заголовковПлагиныПроверка заголовков

Защита против XSS атак

Этот заголовок поможет защитить веб-сайт от XSS атак. Добавьте этот снипет в файл .htaccess:

Никаких параметров не требуется, просто скопируйте и вставьте. Этот код добавляет заголовок X-XSS-Protection в ответы сервера. Большинство современных браузеров его понимают и будут использовать его против XSS атак.

Добавьте снипет в functions.php

Альтернативный метод добавить этот снипет на веб-сайт — через файл functions.php дочерней темы или при помощи специального плагина:

Защита против подмены страницы и клик-джекинга

Суть в том, что пользователю показывается какая-то страница, где он кликает по какой-то кнопке. Фактически поверх данной страницы находится какая-то другая прозрачная страница, по кнопке на которой пользователь в действительности деле кликает.

Примечание: На некоторых темах это правило отключает или ломает настройщик WordPress Внешний видИзменить. Если настройщик перестал работать, не применяйте это правило.

Добавьте снипет в.htaccess

Никаких параметров не требуется, просто скопируйте и вставьте. Этот программный код добавляет заголовок X-Frame-Options в ответы сервера. Большинство современных браузеров понимают этот заголовок и будут использовать его, чтобы убедиться, что страница выводится только на домене.

Снипет в functions.php

Ещё один метод добавить этот снипет на веб-сайт — через файл functions.php дочерней темы или при помощи специального плагина:

Защита от отслеживания содержимого потока информации(Content Sniffing)

Этот тип атак проверяет содержимое потока информации, чтобы попытаться определить формат файлов данных внутри него и добавить информацию.

Добавьте этот код в .htaccess:

Никаких параметров не требуется, просто скопируйте и вставьте. Этот снипет добавляет заголовок X-Content-Type-Options в ответы сервера. Большинство современных браузеров понимают этот заголовок и будут использовать его, чтобы браузеры правильно интерпретировали типы файлов(css, javascript, шрифты, изображения, видео, и так далее).

Снипет в functions.php

Также вы можете добавить этот снипет на веб-сайт через файл functions.php дочерней темы или при помощи специального плагина:

Объединение всех заголовков

Вы можете объединить все три заголовка в один:

Добавьте этот снипет в .htaccess, никаких параметров не требуется.

Если вы не планируете использовать правило X-Frame-Options не добавляйте его, или закомментируйте:

Ваш веб-сайт будет не так безопасен, но это определенно не большая проблема безопасности. Скорее всего, большинство веб-сайтов в Интернете не имеют ни одного из данных заголовков и отлично работают. Данные техники — дополнительные уровни защиты.

Плагины

Если вы не планируете добавлять программный код, вы можете добавить данные заголовки при помощи плагинов:

  • HTTP Security
  • HTTP Headers
  • W3 Total Cache

Проверка заголовков

После того, как вы добавили данные заголовки, вы можете проверить их работу на этом веб-сайте: securityheaders.com.

Или в браузере, инструмент Просмотреть код(Inspect):

Гугл Хром, проверка 301 редиректа
Правая кнопка мыши — Просмотреть код — Сеть — Заголовки

Еше один метод — при помощи расширения для Google Chrome Live HTTP Headers. Для иных браузеров это расширение тоже есть, смотрите в расширениях.

Включите плагин и зайдите на веб-сайт. Загрузите страницу, вы увидите, какие заголовки добавил сервер:

Заголовки сервера X-Security

Читайте также:

  1. Остальные HTTP Заголовки безопасности

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *