محلل رؤوس الأمان

رؤوس الأمان هي تعليمات يرسلها خادم الويب مع كل استجابة تخبر المتصفحات بكيفية التصرف بشكل دفاعي: تقيد سياسة أمان المحتوى المكان الذي يمكن تحميل البرامج النصية منه، ويفرض Strict-Transport-Security بروتوكول HTTPS، وتحظر X-Frame-Options عمليات النقر، وما إلى ذلك. إنها إحدى خطوات التقوية الأرخص والأكثر تأثيرًا التي يمكن أن يتخذها الموقع.

تحسب الدرجة عدد الرؤوس الأساسية الستة الموجودة (CSP، HSTS، X-Frame-Options، X-Content-Type-Options، Referrer-Policy، Permissions-Policy). كل الستة يحصلون على درجة A؛ يتطلب A+ بالإضافة إلى ذلك رأس عزل مشترك الأصل واحدًا على الأقل (COOP/CORP/COEP) ولا توجد علامات ضعف مثل unsafe-inline في CSP الخاص بك.

ليس بشكل مباشر - لا يتم ترتيب Google حسب رؤوس الأمان. ومع ذلك، يحمي HSTS تجربة HTTPS التي تقيسها Google، ومن غير المرجح أن يتم اختراق الموقع المحصن وإدراجه في القائمة السوداء، مما يدمر التصنيفات تمامًا. تعامل مع العناوين كتأمين لاستثمارك في تحسين محركات البحث (SEO).

يتضمن كل رأس مفقود في تقريرك مقتطف إصلاح nginx جاهزًا للصقه. في Apache، استخدم Header دائمًا لتعيين التوجيهات في .htaccess؛ على WordPress مع nginx، أضف المقتطفات إلى كتلة الخادم الخاص بك وأعد التحميل. ابدأ باستخدام X-Content-Type-Options وHSTS (الأقل خطورة)، واختبر CSP في وضع التقرير فقط أولاً.

تكشف الرؤوس مثل Server: nginx/1.24.0 أو X-Powered-By: PHP/8.3 عن إصدارات البرامج الدقيقة، والتي تتيح للمهاجمين البحث عن عمليات استغلال خاصة بالإصدار. يقوم التقرير بوضع علامة عليها حتى تتمكن من تجريدها أو تعميمها.