Yardım ve Sorun Giderme
Güvenlik Başlıkları
Bu nedir
Birkaç HTTP yanıt başlığı, tarayıcılara korumaları etkinleştirmelerini söyler: HSTS (HTTPS'i zorla), CSP (kaynak yüklemeyi kısıtla), X-Frame-Options (çerçevelemeyi engelle), X-Content-Type-Options (MIME koklamayı engelle), Referrer-Policy ve Permissions-Policy.
Sonucunu nasıl okumalısın
Her başlık, neye karşı koruduğuyla birlikte var veya eksik olarak raporlanır. Eksik başlıklar kesinti değil, fırsattır — ama mevcut en ucuz güvenlik kazanımları arasındadır.
Sık karşılaşılan sorunlar ve çözümleri
Güvenlik başlıklarının çoğu veya tümü eksik
Nasıl ortaya çıkar: Gözle görülür hiçbir şey bozulmaz, ama site gereksiz yere tıklama hırsızlığına (clickjacking), MIME karışıklığına ve yönlendiren (referrer) sızıntısına maruz kalır; tarama araçları onu düşük puanlar.
Nasıl düzeltilir: Bunları web sunucusu veya CDN düzeyinde ekle. Neredeyse her site için güvenli başlangıçlar: X-Frame-Options: DENY (veya SAMEORIGIN), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, artı HSTS.
Katı bir Content-Security-Policy eklemek siteyi bozdu
Nasıl ortaya çıkar: Betikler, stiller veya resimler yüklenmeyi bırakır; konsol CSP ihlal hatalarıyla dolar.
Nasıl düzeltilir: CSP'yi önce yalnızca-rapor modunda (Content-Security-Policy-Report-Only) yayınla ve ihlal raporlarına göre yinelemeli olarak sıkılaştır, sonra temiz olunca zorlamaya geç.
Başlıklar uygulamada ayarlanmış ama üretimde çıkarılıyor
Nasıl ortaya çıkar: Yerel test başlıkları gösterir; canlı sitede yoktur.
Nasıl düzeltilir: Öndeki bir vekil/CDN katmanı onların üzerine yazıyor veya onları düşürüyordur. Başlıkları, bağlantıyı sonlandıran en dıştaki katmanda (genellikle CDN) ayarla ya da onu kaynak başlıklarını geçirecek şekilde yapılandır.