Веббезпека

Як перевіряти заголовки безпеки, CSP та HSTS

Процес запуску політик, що визначає джерело кожного заголовка й перевіряє реальну поведінку браузера.

Наявність заголовка ще не означає

що він ефективний або присутній на всіх відповідях. Перевіряйте політику разом зі шляхом її доставки.

Почніть із публічної відповіді

Перевірте застосунок

зворотний проксі

CDN

сторінки помилок

редіректи й авторизовані сторінки. Визначте

який рівень відповідає за кожен заголовок.

Обережно запускайте CSP та HSTS

Спочатку використовуйте CSP report-only. HSTS вмикайте лише після перевірки HTTPS на всіх потрібних субдоменах і розуміння includeSubDomains та preload.

Перевіряйте поведінку

Протестуйте вбудовування у фрейм

визначення MIME-типу

витік даних через Referer

дозволи функцій

вбудовані скрипти

зовнішні інтеграції та повідомлення в консолі браузера.

Чекліст заголовків безпеки

  • Перевірте відповіді з різними кодами стану
  • Призначте відповідального за кожен заголовок
  • Запустіть CSP у режимі report-only
  • Перевірте HTTPS до ввімкнення HSTS
  • Повторіть перевірки у браузері після розгортання

Пов’язані гайди

Дізнайся workflow за цим інструментом і що перевіряти далі.

Пов’язані інструменти