ServerRecords

Yardım ve Sorun Giderme

Güvenlik Başlıkları

Bu nedir

Birkaç HTTP yanıt başlığı, tarayıcılara korumaları etkinleştirmelerini söyler: HSTS (HTTPS'i zorla), CSP (kaynak yüklemeyi kısıtla), X-Frame-Options (çerçevelemeyi engelle), X-Content-Type-Options (MIME koklamayı engelle), Referrer-Policy ve Permissions-Policy.

Sonucunu nasıl okumalısın

Her başlık, neye karşı koruduğuyla birlikte var veya eksik olarak raporlanır. Eksik başlıklar kesinti değil, fırsattır — ama mevcut en ucuz güvenlik kazanımları arasındadır.

Sık karşılaşılan sorunlar ve çözümleri

Güvenlik başlıklarının çoğu veya tümü eksik

Nasıl ortaya çıkar: Gözle görülür hiçbir şey bozulmaz, ama site gereksiz yere tıklama hırsızlığına (clickjacking), MIME karışıklığına ve yönlendiren (referrer) sızıntısına maruz kalır; tarama araçları onu düşük puanlar.

Nasıl düzeltilir: Bunları web sunucusu veya CDN düzeyinde ekle. Neredeyse her site için güvenli başlangıçlar: X-Frame-Options: DENY (veya SAMEORIGIN), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, artı HSTS.

Katı bir Content-Security-Policy eklemek siteyi bozdu

Nasıl ortaya çıkar: Betikler, stiller veya resimler yüklenmeyi bırakır; konsol CSP ihlal hatalarıyla dolar.

Nasıl düzeltilir: CSP'yi önce yalnızca-rapor modunda (Content-Security-Policy-Report-Only) yayınla ve ihlal raporlarına göre yinelemeli olarak sıkılaştır, sonra temiz olunca zorlamaya geç.

Başlıklar uygulamada ayarlanmış ama üretimde çıkarılıyor

Nasıl ortaya çıkar: Yerel test başlıkları gösterir; canlı sitede yoktur.

Nasıl düzeltilir: Öndeki bir vekil/CDN katmanı onların üzerine yazıyor veya onları düşürüyordur. Başlıkları, bağlantıyı sonlandıran en dıştaki katmanda (genellikle CDN) ayarla ya da onu kaynak başlıklarını geçirecek şekilde yapılandır.

Bu kayıt için bir sorgulama çalıştır