هدرهای امنیتی
امنیت

هدرهای امنیتی ضروری برای افزایش امنیت وب‌سایت

  • 1403/09/14

security header چیست؟

Security Header یا هدرهای امنیتی در HTTP به تنظیماتی اشاره دارد که در سطح سرور یا اپلیکیشن وب تنظیم می‌شوند تا امنیت وب‌سایت را افزایش دهند و از حملاتی مانند XSS (Cross-Site Scripting)، CSRF (Cross-Site Request Forgery) و Clickjacking جلوگیری کنند. این هدرها در پاسخ HTTP ارسال می‌شوند و به مرورگر می‌گویند چگونه باید درخواست‌ها و محتوای وب‌سایت را مدیریت کند.

در زیر به برخی از مهم‌ترین هدرهای امنیتی و کاربرد آنها اشاره شده است:

1. Content-Security-Policy (CSP)

هدف: جلوگیری از اجرای اسکریپت‌های مخرب یا بارگذاری محتوای غیرمجاز.

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-scripts.com;

این هدر اجازه می‌دهد فقط اسکریپت‌ها از منابع مورد اعتماد بارگذاری شوند.

2. X-Content-Type-Options

هدف: جلوگیری از MIME type sniffing.

X-Content-Type-Options: nosniff

مرورگر را مجبور می‌کند نوع فایل را طبق نوع مشخص‌شده (MIME type) تفسیر کند.

3. X-Frame-Options

هدف: محافظت در برابر حملات کلیک‌جکینگ.

X-Frame-Options: DENY

این هدر مانع از نمایش وب‌سایت شما داخل iframe دیگر سایت‌ها می‌شود.

4. Strict-Transport-Security (HSTS)

هدف: اجبار مرورگر به استفاده از HTTPS.

Strict-Transport-Security: max-age=31536000; includeSubDomains

مرورگر برای مدت زمان مشخص‌شده فقط از HTTPS استفاده می‌کند.

5. Referrer-Policy

هدف: کنترل اطلاعات ارجاع‌دهنده (Referrer) هنگام درخواست.

Referrer-Policy: no-referrer

هیچ اطلاعاتی از صفحه مرجع ارسال نمی‌شود.

6. Permissions-Policy

هدف: محدود کردن دسترسی به API‌های مرورگر.

Permissions-Policy: geolocation=(), microphone=()

دسترسی به مکان‌یابی و میکروفون مسدود می‌شود.

7. X-XSS-Protection

هدف: فعال کردن فیلتر XSS مرورگر.

X-XSS-Protection: 1; mode=block

فیلتر XSS فعال می‌شود و در صورت شناسایی حمله، صفحه مسدود می‌شود.

8. Cache-Control و Pragma

هدف: کنترل رفتار کش مرورگر برای داده‌های حساس.

Cache-Control: no-store

مرورگر را از ذخیره محتوای حساس منع می‌کند.

پیاده‌سازی در سرور

این هدرها را می‌توانید از طریق تنظیمات سرور خود (مانند Nginx یا Apache) اضافه کنید. برای مثال در Nginx:

add_header Content-Security-Policy "default-src 'self';";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

مزایا:

  • افزایش امنیت وب‌سایت.
  • کاهش آسیب‌پذیری‌های رایج.
  • بهبود اعتماد کاربران به وب‌سایت.
دیدگاه
نوشتن یک دیدگاه

آدرس ایمیل شما منتشر نخواهد شد، فیلدهای الزامی علامت گذاری شده است*.

نوشته های اخیر
دسته بندیها
برچسب ها
عضویت در خبرنامه

رایگان ثبت نام کنید و اولین نفری باشید که از پست های جدید مطلع می شوید.