HTTP security headers — сервер жавобига қўшиладиган махсус кўрсатмалар бўлиб, браузерга сайт билан қандай хавфсиз ишлашни айтади. Тўғри созланган headerlar XSS, clickjacking, sniffing ҳужумларни тўсади.
1. Strict-Transport-Security (HSTS)
Strict-Transport-Security: max-age=31536000; includeSubDomains
Браузерга "бу сайтга доим HTTPS орқали улан" дейди.
2. Content-Security-Policy (CSP)
Content-Security-Policy: default-src 'self'
Энг кучли. Қайси манбалардан юклаш мумкинлигини белгилайди. XSS'ни тўсади.
3. X-Frame-Options
X-Frame-Options: SAMEORIGIN — clickjacking'ни тўсади.
4. X-Content-Type-Options
X-Content-Type-Options: nosniff
5. Referrer-Policy
Referrer-Policy: strict-origin-when-cross-origin
6. Permissions-Policy
Камера, микрофон, жойлашувга кириш чеклайди.
Apache'да (.htaccess)
mod_headers орқали Header always set.
Nginx'да
add_header X-Frame-Options "SAMEORIGIN" always;
Текшириш
securityheaders.com, Mozilla Observatory.
CSP эҳтиёт билан
Жуда қаттиқ созланса, ўз JS/CSS ҳам ишламай қолиши мумкин. Аввал Report-Only режимида синанг.
Сайт.uz амалиёт
Сайт.uz HSTS, X-Frame-Options, CSP созланган. securityheaders.com'да A баҳо.