Know-How
HTTP Security Headers — kompletní přehled
Správné HTTP security headers jsou nejlevnější bezpečnostní opatření. Jeden řádek konfigurace může zastavit celou kategorii útoků.
Kompletní sada — Nginx
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Content-Security-Policy "default-src 'self'" always;
add_header Cross-Origin-Opener-Policy "same-origin" always;
Co který header dělá
- HSTS: Vynutí HTTPS, brání SSL stripping
- X-Frame-Options: Brání clickjackingu
- X-Content-Type-Options: Zabrání MIME sniffingu
- Referrer-Policy: Kontroluje Referer header
- Permissions-Policy: Omezuje přístup k API (kamera, GPS)
Testování
curl -I https://example.com
# Online: securityheaders.com, observatory.mozilla.org
Klíčový takeaway
Přidejte všechny security headers. Zabere 5 minut, chrání proti clickjackingu, XSS, MIME sniffingu.