Czym jest Nagłówki bezpieczeństwa?
Przeczytaj czym jest Nagłówki bezpieczeństwa w naszym słowniku.
Pomoże Ci to lepiej zrozumieć, czym dokładnie jest Nagłówki bezpieczeństwa i jakie ma dla Ciebie znaczenie w codziennym użytkowaniu.
Nagłówki bezpieczeństwa
Security headers
Nagłówki bezpieczeństwa to zestaw instrukcji przesyłanych przez serwer do przeglądarki internetowej w ramach odpowiedzi HTTP. Ich zadaniem jest określenie ścisłych zasad, według których przeglądarka ma wyświetlać stronę i zarządzać jej zasobami. Dzięki nim można zablokować wiele popularnych metod ataków, zanim jeszcze dotrą one do kodu witryny.
Wyobraź sobie, że Twoja strona to budynek. Sam certyfikat ssl zapewnia bezpieczne, zaszyfrowane przejście do środka, ale to właśnie nagłówki bezpieczeństwa działają jak system monitoringu i ochroniarze sprawdzający, czy nikt nie próbuje podmienić wystroju wnętrza lub podsłuchać rozmów gości.
Jakie ataki blokują nagłówki bezpieczeństwa?
Poprawnie skonfigurowane nagłówki chronią przed kilkoma groźnymi zjawiskami:
- XSS (Cross-Site Scripting): Wstrzykiwanie złośliwego kodu do treści strony.
- Clickjacking: Nakładanie niewidocznych warstw na przyciski strony, co zmusza użytkownika do nieświadomego kliknięcia w złośliwy link.
- MIME Sniffing: Próby oszukania przeglądarki, by potraktowała bezpieczny plik tekstowy jako groźny skrypt.
Najważniejsze rodzaje nagłówków
- Content Security Policy (CSP): Nagłówek, który mówi przeglądarce, z jakich źródeł może pobierać obrazy, skrypty czy czcionki.
- Strict-Transport-Security (HSTS): Wymusza na przeglądarce łączenie się wyłącznie przez bezpieczny protokół HTTPS.
- X-Frame-Options: Decyduje, czy Twoja strona może być wyświetlana wewnątrz ramki (iframe) na innej witrynie.
- X-Content-Type-Options: Blokuje wspomniane wcześniej próby odgadywania typu danych przez przeglądarkę.
