Як перевіряти заголовки безпеки, CSP та HSTS
Процес запуску політик, що визначає джерело кожного заголовка й перевіряє реальну поведінку браузера.
Наявність заголовка ще не означає
що він ефективний або присутній на всіх відповідях. Перевіряйте політику разом зі шляхом її доставки.
Почніть із публічної відповіді
Перевірте застосунок
зворотний проксі
CDN
сторінки помилок
редіректи й авторизовані сторінки. Визначте
який рівень відповідає за кожен заголовок.
Обережно запускайте CSP та HSTS
Спочатку використовуйте CSP report-only. HSTS вмикайте лише після перевірки HTTPS на всіх потрібних субдоменах і розуміння includeSubDomains та preload.
Перевіряйте поведінку
Протестуйте вбудовування у фрейм
визначення MIME-типу
витік даних через Referer
дозволи функцій
вбудовані скрипти
зовнішні інтеграції та повідомлення в консолі браузера.
Чекліст заголовків безпеки
- Перевірте відповіді з різними кодами стану
- Призначте відповідального за кожен заголовок
- Запустіть CSP у режимі report-only
- Перевірте HTTPS до ввімкнення HSTS
- Повторіть перевірки у браузері після розгортання
Пов’язані гайди
Дізнайся workflow за цим інструментом і що перевіряти далі.
Чекліст перевірки домену перед запуском
Пошарова перевірка домену, що знаходить помилки DNS, сертифікатів, маршрутизації, пошти та SEO до користувачів.
Technical SEO checks перед відправкою сайту
Фокусний checklist, щоб search engines могли знайти, просканувати, зрозуміти й проіндексувати важливі сторінки.