Správné HTTP security headers jsou nejlevnější bezpečnostní opatření. Jeden řádek konfigurace může zastavit celou kategorii útoků.
Kompletní sada — Nginx¶
add_header Strict-Transport-Security “max-age=63072000; includeSubDomains; preload” always; add_header X-Frame-Options “DENY” always; add_header X-Content-Type-Options “nosniff” always; add_header Referrer-Policy “strict-origin-when-cross-origin” always; add_header Permissions-Policy “camera=(), microphone=(), geolocation=()” always; add_header Content-Security-Policy “default-src ‘self’” always; add_header Cross-Origin-Opener-Policy “same-origin” always;
Co který header dělá¶
- HSTS: Vynutí HTTPS, brání SSL stripping
- X-Frame-Options: Brání clickjackingu
- X-Content-Type-Options: Zabrání MIME sniffingu
- Referrer-Policy: Kontroluje Referer header
- Permissions-Policy: Omezuje přístup k API (kamera, GPS)
Testování¶
curl -I https://example.com
Online: securityheaders.com, observatory.mozilla.org¶
Klíčový takeaway¶
Přidejte všechny security headers. Zabere 5 minut, chrání proti clickjackingu, XSS, MIME sniffingu.
securityhttpheadersweb