HTTP security headers (xavfsizlik sarlavhalari) — server javobiga qo'shiladigan maxsus ko'rsatmalar bo'lib, brauzerга sayt bilan qanday xavfsiz ishlashni aytadi. To'g'ri sozlangan headerlar XSS, clickjacking, sniffing kabi hujumlarni to'sadi. Bir necha qator kod — katta himoya.
1. Strict-Transport-Security (HSTS)
Strict-Transport-Security: max-age=31536000; includeSubDomains
Brauzerga "bu saytga doim HTTPS orqali ulan" deydi. HTTP'ga tushib qolishni va man-in-the-middle hujumini to'sadi. 1 yil (31536000 soniya) tavsiya.
2. Content-Security-Policy (CSP)
Content-Security-Policy: default-src 'self'
Eng kuchli, lekin eng murakkab. Qaysi manbalardan (skript, rasm, stil) yuklash mumkinligini belgilaydi. XSS hujumini deyarli butunlay to'sadi. Boshqa domendan ruxsatsiz JS ishlamaydi.
3. X-Frame-Options
X-Frame-Options: SAMEORIGIN
Saytingizni boshqa sayt iframe ichiga joylab, foydalanuvchini aldashini (clickjacking) to'sadi.
4. X-Content-Type-Options
X-Content-Type-Options: nosniff
Brauzer fayl turini "taxmin qilishini" to'sadi. Yuklangan .txt fayl JS sifatida ishga tushib ketmaydi.
5. Referrer-Policy
Referrer-Policy: strict-origin-when-cross-origin
Boshqa saytga o'tganda qancha ma'lumot (referrer) yuborilishini cheklaydi. Maxfiylik uchun.
6. Permissions-Policy
Permissions-Policy: geolocation=(), microphone=(), camera=()
Sayt qaysi brauzer imkoniyatlaridan (kamera, mikrofon, joylashuv) foydalanishini cheklaydi.
Apache'da o'rnatish (.htaccess)
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
</IfModule>
Nginx'da
add_header X-Frame-Options "SAMEORIGIN" always;
PHP'da
header('X-Frame-Options: SAMEORIGIN');
Tekshirish
1) securityheaders.com — saytingizni baholaydi (A+ dan F gacha). 2) Mozilla Observatory — chuqurroq tahlil. 3) Brauzer DevTools → Network → Response Headers.
CSP'ni ehtiyot bilan
CSP juda qattiq sozlansa, o'zingizning JS/CSS ham ishlamay qolishi mumkin. Avval "Content-Security-Policy-Report-Only" rejimida sinab ko'ring — buzilmaydi, lekin nima bloklanishini ko'rsatadi.
Sayt.uz amaliyot
Sayt.uz HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy va CSP sozlangan. securityheaders.com'da A baho. Bu foydalanuvchi ma'lumotlari va saytni hujumlardan himoyalaydi.