Güvenliği artırmak için kullanmanız gereken 8 HTTP güvenlik başlıkları
HTTP Güvenlik Başlığı, web güvenliğinin en temel ama güçlü kısımlarından biridir. Bu güvenlik adımlarının yardımıyla, web uygulamanızın güvenliğini bir sonraki seviyeye geliştirebilirsiniz. Bu, web sitenizi web sitenizin karşılaşması gereken tüm saldırılardan korur. Bu HTTP güvenlik başlığı çok güçlüdür, böylece etkinleştirdiğinizde, web sitenizi tıklama, kod enjeksiyonu, çapraz yer komut dosyaları ve daha fazlası gibi çeşitli genel saldırılardan korurlar. Bu yazıda, size HTTP Güvenlik Başlığı listesi, nasıl yararlı olabileceğini ve nasıl uygulayabileceğinizi açıklayacağız.
Burada kalın ve başlayalım!
İçindekiler tablosu
HTTP Güvenlik Başlığı nedir?
Neden bir güvenlik başlığı HTTP uygulamanız gerekiyor?
Bir Güvenlik Başlığı Denetleyicisi çalıştırın
En önemli HTTP başlık listesi
HTTP güvenlik başlıklarının güvenlik açığının web sitenizde iyileştirilmesini nasıl uygulayabilirim?
Özet
Sık sık sorulan sorular
HTTP Güvenlik Başlığı nedir? Temel olarak, HTTP Güvenlik Başlığı, güvenlik ile ilgili HTTP iletişim bilgilerini belirlemek için web tarayıcınız (veya herhangi bir web istemciniz) ve web sunucusu arasında değiştirilen bir dizi komut veya talimat kümesidir. Bu bilgileri değiştirme veya paylaşma HTTP protokolünün bir parçasıdır. Bu komut veya yön, tarayıcınıza güvenliğini sağlamak için web siteniz için neyin görüntülenmesine veya diğerine neyin izin verildiğini söyler ve kötü amaçlı yazılım enjeksiyonu yoktur.
Bu HTTP Güvenlik Üstbilgisi Komutu, web tarayıcınızı ve web sitenizi korsan saldırıları veya tehlikeli kod enjeksiyonları gibi herhangi bir güvenlik tehdidinden korumanıza yardımcı olur. Dolayısıyla, bu güvenlik stratejisi genel bir savunma sistemi görevi görür. Neden bir güvenlik başlığı HTTP uygulamanız gerekiyor? Fark ettiğiniz gibi, son yıllarda siber saldırıların zirvesini ve veri ihlali vakalarını artırma konusunda internette dolaşan birçok makale ve rapor var. Ve tüm bu kazaların ana nedenlerinden biri zayıf güvenlik önlemleri ve yapılandırma hatalarıdır. Bu HTTP güvenlik, en yaygın hacker saldırılarının, kötü amaçlı yazılım enjeksiyonunun, tıklama, tehlikeli komut dosyası enjeksiyonunun vb. Bazılarını durdurmaya yardımcı olur. Bu başlık, web uygulaması çalışırken sunucu ve web tarayıcısı arasındaki bazı etkinlikleri sınırlandırarak ekstra bir koruma katmanı sağlar. Zaten birçok HTTP başlığı mevcut olmasına rağmen, daha iyi koruma elde etmek için başvurmanız gerektiğidir. Tıpkı zaman içinde değişen herhangi bir web teknolojisi gibi, yeni HTTP başlığı görünecek ve ayrılacak tarayıcı desteğine bağlıdır. Bu nedenle, hangi HTTP üstbilgisinin uygulanacağına ve hangilerinin uygulanmadığına karar vermeniz önemlidir, ancak şimdilik, en yaygın tehditlerden bazılarından korunabilmeniz için bu HTTP güvenlik başlığının 8 listesini uygulamanız gerekir.
Buna ek olarak, HTTP güvenlik başlıkları web sitenizin SEO puanını artırmaya da yardımcı olabilir. Daha ileri gitmeden önce bir güvenlik kabadası denetleyicisi çalıştırın, yapmanız gereken ilk şey, web sitenizde bir güvenlik başlığı incelemesi yapmaktır. Web sitenizde hangi önemli güvenlik başlıklarının eksik olduğunu görmeniz kolay olacak yardımla. Bunu yapmak için, Güvenlik Üstbilgisi web sitesini ziyaret etmeniz ve aşağıdaki resimde gösterildiği gibi web sitesi adresinizi girmeniz gerekir: Web sitesi URL’sine girdiğinizde ve Tarama düğmesine basın, kapsamlı rapor oluşturulacak ve tüm HTTP Vital Security Kırmızı ise kaybedilen başlıklar ve web sitenizin ne kadar güvenli olduğunu gösteren bir değer.
Yukarıdaki resimden, HTTP’nin algılanmadığını görebilirsiniz. aşağıda açıkladığımız ve listelediğimiz. En önemli HTTP Başlık Listesi, güvenliği artırmak ve ekstra koruma katmanını etkinleştirmek için web uygulamanıza başvurmanız gereken en önemli HTTP güvenlik başlıklarından bazılarını kontrol edelim. 1. X Frame Seçenekleri İlk kez Microsoft, Microsoft Internet Explorer’larına X-Frame seçeneğini tanıttı ve bu da tehlikeli komut dosyası enjeksiyonundan veya siteler arası komut dosyası saldırılarından korunmaya yardımcı oldu. Bu HTTP Güvenlik Başlığı, bir tarayıcıya IFRames’i Web Sitesine işleyip işlemeyeceğini sorması için Web Sitenizi Korur.
X-Frame-Options: İzin Ver-From url
1
2
3
X – Çerçeve – Seçenekler: Sameorigin
X – Çerçeve – Seçenekler: İzin – url ‘den
Açıklama Talimatları: İnkar: Bu yön, IFREM’lerin aynı Asya’yı oluşturmasına izin vermez: Bu yön, IFREM’lerin yalnızca aynı orijin ile oluşturulmasına izin verecektir.
İzin ver: Bu yön, yalnızca belirli URL’lerden IFREM’lerin oluşturulmasına izin verecektir. 2. Sıkı taşıma-Güvenlik Başlığı Sıkı İadeli Güvenlik veya HTTPS Katı Taşıma Güvenliği, etkinleştirildiğinde MIM saldırılarından ve çerezlerin korsanlığından korunmaya yardımcı olur. Bu yön, tarayıcıyı HTTP iletişimi yerine HTTPS kullanmaya zorlar. HTTP’de herhangi bir web sitesi çalıştırırsanız ve HTTPS’de taşınırsanız nasıl çalıştığını anlayalım. Eski ziyaretçiniz yine de eski URL’ye HTTP ile erişmeye çalışacaktır. Web sitenizi HTTPS’ye taşıdığınız için, eski URL onu yenisine aktaracaktır.
Ancak mesele şu ki, ziyaretçileriniz web sitenizin yeni URL’ye aktarılmadan önce şifrelenmeyen sürümüne erişebilir. Sürecin aralarında, bilgisayar korsanları orta saldırılarda MIM veya insanı gerçekleştirme fırsatı buldular. Ancak, sıkı iletim güvenliğini etkinleştirdiğinizde, tarayıcı HTTP web sitesini yüklememek için talimatlar alacaktır, bunun yerine tarayıcıyı HTTPS aracılığıyla iletişim kurmaya zorlar. Takip edilmesi gereken sözdizimi: Sıkı-İletiş Güvenliği: Max-age = & lt; süresi süresi & gt;
Sıkı-İadiye Güvenliği: Max-age = & lt; süresi süresi süresi & gt ;; BAŞLIKLARI DAHİL
Sıkı-İadiye Güvenliği: Max-age = & lt; süresi süresi süresi & gt ;; Önceden yüklemek
1
2
3
Sıkı – Taşıma – Güvenlik: Maks – Yaş = & lt; Süresi dolmak – zaman & gt; ; BAŞLIKLARI DAHİL
Sıkı – Taşıma – Güvenlik: Maks – Yaş = & lt; Süresi dolmak – zaman & gt; ; Önceden yüklemek
Açıklama Talimatları Max-Age = : Bu yönerge, tarayıcının HTTPS aracılığıyla ne kadar süre erişebileceğine (saniyeler içinde) karar vermenize olanak tanır.
Max-age = ; DURUMU BAZILAR: Bu direktiften bahsedilirse, yukarıdaki kuralların tüm web sitesi alt alanları için de geçerli olduğu anlamına gelir. Max-age = ; Ön yük: Bu yön, web sitesinin Global HTTPS site listesine kaydedildiğini gösterir. 3. HTTP’nin Güvenlik Başlığı Güvenlik Politikası, tarayıcıya yalnızca politikada belirtilen içeriği yüklemesini söyledi. Bu, web sitesi kaynaklarınızı kontrol etme ve tarayıcıların yalnızca beyaz listeye girdiğiniz içerik kaynaklarını yüklemesine izin verme gücüne sahip olacağınız anlamına gelir. Bu, tarayıcının komut dosyaları, resimler veya CSS gibi içerik kaynaklarını nerede içerdiğine karar vermesine yardımcı olur. Bu HTTP güvenlik üstbilgisini başarılı bir şekilde uygulayabiliyorsanız, web sitenizi tıklama, siteler arası komut dosyası (XSS) ve tehlikeli kod enjeksiyonundan koruyacaktır. % 100 garanti koruması olmasa da, bu hasar olasılığını önlemeye ve sınırlamaya yardımcı olur. Aslında, çoğu tarayıcı artık bu ciddi sorunu tanımlıyor ve desteklemeye başlıyor. Takip edilmesi gereken sözdizimi:
İçerik-Security-Polic: & lt; politika yönelimli & gt ;; & lt; politika yönelimli & gt;
1
Talimatların açıklanması : Scripts-SRC (CSS), IMG-SRC (resimler) veya style-src (stil sayfası) gibi tüm ilke yönergelerini girebilir ve yüklemesine izin verebilirsiniz. 4. X-Content-Tip-Tip Bu tür bir başlık, tarayıcıya MIME Türünün sunucuda kasıtlı olarak yapılandırıldığını söyleyerek mime tipi koklamayı sınırlamanıza veya önlemenize olanak tanır. Temel olarak, MIME koklamada, bu, saldırganlara yürütülebilecek tehlikeli senaryolar enjekte etmeleri için bir fırsat sağlar. Örneğin, saldırgan, diğer masum kaynakların tepkisini değiştiren tehlikeli kaynakları enjekte etti. MIME koklaması nedeniyle, tarayıcı enjekte edilen tehlikeli kaynakları yürütmeye başlamak yerine görüntü içeriği türünü oluşturmayı durduracaktır. Bu başlığı etkinleştirdiğinizde, tarayıcıyı yalnızca içerik türü başlığında belirlenen mime türünü takip etmeye zorlar ve zorlar. Bu şekilde tehlikeli komut dosyası enjeksiyonu veya çapraz alan komut dosyası saldırılarını kolayca koruyabilir ve önleyebilirsiniz. İzlenecek Sözdizimi: X-Content-Type-Options: Nosniff
1
Talimatın Açıklaması: Tür taleplerinin amacı:
stil
MIME Türü Metin/CSS veya Tip Komut Dışı Değil
MIME Türü JavaScript Mime türü değildir
5. Bu kanopinin güvenliğine atıfta bulunma politikası, sevk bilgilerinin açıklanıp açıklanmayacağını kontrol etmenizi sağlayacaktır? Evet ise o zaman ne kadar. Ancak, diğer istekler için tarayıcı yalnızca başlangıç noktası hakkında bilgi paylaşacaktır. Takip edilmesi gereken sözdizimi: Yönlendirici politika: Origin-Cross-Origin
Yönlendirici politika: NO-Referrher-When-Downgrad
1
2
Yönlendirici – Politika: Hayır – yönlendirici – ne zaman – düşürme
Talimatın Açıklaması: Origin-Cross-Origin: Tarayıcı aynı menşe ve diğer istekler için tam yönlendirme bilgilerini paylaşacaktır, tarayıcı yalnızca menşe hakkında paylaşacaktır. NO-Referrher-When-Downgrade: Tarayıcı, sadakatsiz bir hedefe istek için bir yönlendirici başlığı gönderirken yönlendirme bilgilerini paylaşmaz. 6. Özellikler veya İzinler Bu güvenlik üstbilgisi, web sitesinin tarayıcıdaki belirli özelliklere veya yangınlara erişim sağlayıp sağlamadığına karar vermesine izin verir. Bu başlık yardımıyla, tarayıcınızdaki herhangi bir uygulama işlevini kolayca kontrol edebilir, bu da gizliliğinize zarar verebilir ve yalnızca meşru ve gerekli olduğunu düşünürseniz izin verebilir. Örneğin, web sitesinin mikrofonlara, web kameralarına veya konumunuza erişmesini istemiyorsanız ve aşağıda verilen sözdizimini izleyerek işlevlerini sınırlamak istiyorsanız:
Özellikler: Mikrofon ‘Yok’; Kamera ‘yok’
Özellik-poli: coğrafi konum ‘benlik’; ‘Yok’ titreşim
İzinler-Polisy: Geolocation = (self), titreşim = ()
1
2
3
Feature – Policy : geolocation ‘self’ ; ‘Yok’ titreşim
Permissions – Policy : geolocation = ( self ) , vibrate = ( )
sintaks untuk mengikuti:
Feature-Policy: <directive> <allowlist>
1
Penjelasan Instruksi: dapat berupa apa saja, seperti Accelerometer, autoplay, sensor cahaya sekitar, baterai, kamera, mikrofon, atau geolokasi.
sedangkan adalah daftar asal, yang dapat mengambil satu atau lebih nilai seperti ‘none’, ‘self’, dll. diletakkan secara terpisah. Untuk referensi Anda, Anda dapat melihat daftar lengkap arahan dan daftar yang diizinkan dari sini. 7. Lintas Domain yang Diizinkan X Dengan bantuan Header keamanan HTTP ini, Anda dapat memberikan instruksi ke browser dan memiliki kendali atas semua permintaan yang datang dari lintas domain. Saat Anda mengaktifkan tajuk ini, Anda akan membatasi situs web Anda untuk memuat aset situs web yang tidak perlu yang berasal dari domain lain. Sehingga sumber daya website dapat digunakan secara efisien. Header keamanan ini opsional dan tidak perlu memilikinya, tetapi ada baiknya untuk menginstal dan mengaktifkannya. Takip edilmesi gereken sözdizimi:
X-Permitted-Cross-Domain-Policies: “none”
1
8. XSS Koruma Koruma XSS Koruması veya Çapraz Yeri Komut Dosyası Koruma Başlıkları, çapraz yerdeki komut dosyası saldırılarından korunmak için tanıtılır. Bu saldırı çok yaygın ve etkili kabul edilir, bu nedenle çoğu web tarayıcısı varsayılan olarak XSS korumasını etkinleştirir. Saldırgan, işlem verileri, kişisel veriler vb. Çapraz yerinde bir komut dosyası saldırısı tespit edildiğinde, XSS koruma başlıkları hemen filtreleyecek ve durduracaktır. Bununla birlikte, bu filtre sadece eski tarayıcılarda mevcuttur ve artık modern tarayıcılar için artık gerekli değildir. Özellikle çok iyi bir güvenlik politikası uyguladıysanız ve ziyaretçileriniz hala içerik güvenliği politikasını anlamayan eski tarayıcıyı kullanıyorsa devam etmek ve bunu yapmak iyidir. Takip edilmesi gereken sözdizimi:
X-XSS koruma: 0
X-XSS koruma: 1
X-XSS koruma: 1; mode = blok
X-XSS koruma: 1; Rapor = & lt; raporlama-uuri & gt;
1
2
3
4
X – XSS – Koruma: 1
X – XSS – Koruma: 1; mode = blok
X – XSS – Koruma: 1; Rapor = & lt; Raporlama – URI & GT;
Açıklama: 0 – Bu XSS 1 Korumasını devre dışı bırakacaktır – XSS 1 Korumasını Etkinleştir; Mode = Block – Cross -Site komut dosyası saldırıları tespit edildiğinde Web sayfalarını tamamen yüklemek için tarayıcıyı durdurun. 1; Report = -BSS saldırıları tespit edildiğinde, güvenli olmayan kısım tarayıcı tarafından engellenecek ve web sitenizdeki HTTP güvenlik başlığının güvenlik açığının iyileştirilmesinin nasıl uygulanacağı hakkında rapor edilecektir. Web barındırma hizmet sağlayıcınız, iki .htaccess dosyasından birine veya wp-config.php dosyalarından birine erişmenize izin verirse. HTTP Güvenlik Başlıklarının güvenlik açığının iyileştirilmesinin herhangi bir yere HTTP güvenlik başlıkları ekleyerek web sitenizde uygulanması kolay olacaktır. WOVOVED’de SSH erişimi sağlayacaksınız, bu da dosya yöneticisine kolayca erişebilir ve .htaccess dosyanızı düzenleyebilirsiniz. Adım 1: İlk olarak, Site için SSH erişimini etkinleştirmelisiniz. Bunu yapmak için siteye WOVOVE DASBOR’dan erişmeniz gerekir. ‘Araç’ bölümüne gidin.
Ardından, ‘Araç’ bölümünden, sayfanın altındaki ‘SSH Erişim Etkinleştir’ düğmesine basmanız gerekir.
Adım 2: Site için SSH erişimi etkinleştirildikten sonra, sitenizin SFTP kimlik bilgilerini kullanarak Putty veya Penuinet gibi üçüncü taraf bir uygulamayı girebilirsiniz. Dosya, doğrudan Zilla dosyaları olarak bilinen FTP istemcileri aracılığıyla. Tek yapmanız gereken aşağıda verilen adımları takip etmektir:
İlk olarak, FTP istemcilerini kullanarak WordPress sitenize bağlanmanız gerekir. Bu, .htaccess dosyanızı düzenlemenize olanak tanır. Bu dosya WordPress sitenizin kök dizininde bulunabilir. .Htaccess dosyası görünmüyorsa, gizli dosyaları kontrol etmek isteyebilirsiniz.
Özel bir düzenleyiciye gerek yok, Not Defteri gibi herhangi bir metin düzenleyicisine bir kod yazabilirsiniz.
Bu kodu yazmalı ve .htaccess dosyasına eklemelisiniz. .Htaccess dosyasının sonuna eklenmesi önerilir.
Siteyi bulduğunuzda, yerel sürücünüze indirin ve ardından herhangi bir metin düzenleyicisinde açın. En basit seçenek standart not defteridir. Dosyanın altına aşağıdaki kodu ekleyin:
X-Frame-Options: Reddet
X-Frame-Options: Sameorigin
Sıkı-İadiye Güvenliği: Max-age = & lt; süresi süresi süresi & gt ;; Önceden yüklemek
İçerik-Security-Polic: & lt; politika yönelimli & gt ;; & lt; politika yönelimli & gt;
X-Content-Type-Options: Nosniff
Yönlendirici politika: Kısalan orijin-cross-orijin
Yönlendirici politika: NO-Referrher-When-Downgrad
Özellikler: & LT; Direktif & gt; & lt; listeList & gt;
X-Permited-Cross-Domain Polikler: “Yok”
X-XSS koruma: 0
X-XSS koruma: 1
X-XSS koruma: 1; mode = blok
X-XSS koruma: 1; Rapor = & lt; raporlama-uuri & gt;
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
X – Çerçeve – Seçenekler: Sameorigin
X – Çerçeve – Seçenekler: İzin Ver – Urlstrict – Transport – Güvenlik: Max – Age = & lt;Süresi dolmak – zaman & gt;
Sıkı – Taşıma – Güvenlik: Maks – Yaş = & lt;Süresi dolmak – zaman & gt;;BAŞLIKLARI DAHİL
Sıkı – Taşıma – Güvenlik: Maks – Yaş = & lt;Süresi dolmak – zaman & gt;;Önceden yüklemek
İçerik – Güvenlik – Politika: & lt;Politika – Direktif & GT;;& lt;Politika – Direktif & GT;
X – İçerik – Tür – Seçenekler: Nosniff
Yönlendirici – Politika: Origin – Ne Zaman – Çapraz – Köken
Yönlendirici – Politika: Hayır – yönlendirici – ne zaman – düşürme
Özellik – Politika: & lt;Direktif & GT;& lt;İzin Listesi & GT;
X – İzin Verilen – Çapraz Alan Alanı – Politikalar: “Yok”
X – XSS – Koruma: 0
X – XSS – Koruma: 1
X – XSS – Koruma: 1;mode = blok
X – XSS – Koruma: 1;Rapor = & lt;Raporlama – URI & GT;
Öznitelikleri, yönü ve değerleri ihtiyaçlara göre değiştirin, kaydedin ve yükleyin. Veya web sunucusu yapılandırma dosyanıza da erişebilir ve bu güvenlik üstbilgisini uygulayabilirsiniz. Ancak, kendi değişikliklerinizi yapmak istemiyorsanız ve bir WOVOVE müşterisiyseniz, bir destek bileti açabilirsiniz ve bunu sizin için hızlı bir şekilde yapabiliriz. Yukarıdaki gönderinin dolaşımı, etkinleştirmenin ne kadar önemli olduğunu görebilirsiniz. Web sitenizde HTTP Güvenlik Başlığı. Ve web sitesi güvenliğinin sertleşmesini ne ölçüde sağladıkları. Ancak, bu menkul kıymetler varsayılan olarak mevcut ve sofistike tarayıcılarda uygulanmıştır. Ama yine de, onu kullanamayacağınızı bulmamın bir nedeni yok. Web sitesi sunucunuza erişiminiz yoksa, zor bulursunuz. Profesyonellerden yardım istemek her zaman daha iyidir. Web barındırma sağlayıcınızla iletişime geçmeniz daha iyi ve onlardan web sitenizde HTTP güvenlik başlıkları uygulamalarını isteymeniz. Sık sık sorulan sorular HTTP başlıkları güvenli midir?
Evet, HTTP güvenlik başlığı en önemli siber güvenlik talimatlarından biridir. HTTP başlığındaki tüm bilgiler şifrelenir.
Güvenlik ekleyen başlıklar nelerdir?
Web sitesinde güvenlik ekleyen bazı başlıklar şunlardır: 1. Çerçeve Seçenekleri-X 2. Sıkı taşıma-Güvenlik 3. İçerik Güvenliği Politikası 4. X-Content-Type-Type 5. Anket Politikası 6. Özellikler veya İzinler 7. İzin Verilen Çapraz Alan X 8. XSS koruması
CSP başlığı nedir?
