🛡️
Хавфсизлик

HTTP хавфсизлик сарлавҳалари: тўлиқ рўйхат

15.04.2026
← Барча мақолалар

HTTP security headers — сервер жавобига қўшиладиган махсус кўрсатмалар бўлиб, браузерга сайт билан қандай хавфсиз ишлашни айтади. Тўғри созланган headerlar XSS, clickjacking, sniffing ҳужумларни тўсади.

1. Strict-Transport-Security (HSTS)

Strict-Transport-Security: max-age=31536000; includeSubDomains

Браузерга "бу сайтга доим HTTPS орқали улан" дейди.

2. Content-Security-Policy (CSP)

Content-Security-Policy: default-src 'self'

Энг кучли. Қайси манбалардан юклаш мумкинлигини белгилайди. XSS'ни тўсади.

3. X-Frame-Options

X-Frame-Options: SAMEORIGIN — clickjacking'ни тўсади.

4. X-Content-Type-Options

X-Content-Type-Options: nosniff

5. Referrer-Policy

Referrer-Policy: strict-origin-when-cross-origin

6. Permissions-Policy

Камера, микрофон, жойлашувга кириш чеклайди.

Apache'да (.htaccess)

mod_headers орқали Header always set.

Nginx'да

add_header X-Frame-Options "SAMEORIGIN" always;

Текшириш

securityheaders.com, Mozilla Observatory.

CSP эҳтиёт билан

Жуда қаттиқ созланса, ўз JS/CSS ҳам ишламай қолиши мумкин. Аввал Report-Only режимида синанг.

Сайт.uz амалиёт

Сайт.uz HSTS, X-Frame-Options, CSP созланган. securityheaders.com'да A баҳо.

Ўхшаш мақолалар

🔐 Парол менежерлар — Bitwarden, 1Password, LastPass ва KeePass танлови 🍯 Honeypot — формада яширин майдон, ботларни ушлайди ва спамни тўхтатади 📄 /.well-known/security.txt — хавфсизлик алоқа стандарти 📋 GDPR мослик — Европа фуқаролари маълумотлари мажбуриятлари
🌐 Тил
🇺🇿 O'zbek 🇺🇿 Ўзбек 🇷🇺 Русский 🇬🇧 English