सुरक्षा शीर्षलेख विश्लेषक

सुरक्षा हेडर ऐसे निर्देश हैं जो एक वेब सर्वर प्रत्येक प्रतिक्रिया के साथ भेजता है जो ब्राउज़र को बताता है कि रक्षात्मक तरीके से कैसे व्यवहार करना है: सामग्री-सुरक्षा-नीति प्रतिबंधित करती है कि स्क्रिप्ट कहां से लोड हो सकती है, सख्त-परिवहन-सुरक्षा HTTPS को मजबूर करती है, एक्स-फ़्रेम-ऑप्शंस क्लिकजैकिंग को रोकती है, और इसी तरह। वे किसी साइट द्वारा उठाए जा सकने वाले सबसे सस्ते, उच्चतम प्रभाव वाले सख्त कदमों में से एक हैं।

ग्रेड गणना करता है कि छह मुख्य हेडर में से कितने मौजूद हैं (सीएसपी, एचएसटीएस, एक्स-फ़्रेम-विकल्प, एक्स-सामग्री-प्रकार-विकल्प, रेफ़रर-नीति, अनुमतियाँ-नीति)। सभी छह ए अर्जित करते हैं; ए+ के लिए अतिरिक्त रूप से कम से कम एक क्रॉस-ओरिजिन आइसोलेशन हेडर (सीओओपी/सीओआरपी/सीओईपी) की आवश्यकता होती है और आपके सीएसपी में अनसेफ-इनलाइन जैसे कोई कमजोर झंडे नहीं होते हैं।

सीधे तौर पर नहीं - Google सुरक्षा हेडर के आधार पर रैंक नहीं करता है। हालाँकि, HSTS उस HTTPS अनुभव की सुरक्षा करता है जिसे Google मापता है, और एक कठोर साइट के हैक होने और ब्लैकलिस्ट होने की संभावना कम होती है, जो रैंकिंग को पूरी तरह से नष्ट कर देती है। हेडर को अपने एसईओ निवेश के लिए बीमा के रूप में मानें।

आपकी रिपोर्ट में प्रत्येक गुम हेडर में एक रेडी-टू-पेस्ट nginx फिक्स स्निपेट शामिल है। अपाचे पर, हेडर का उपयोग करें और हमेशा .htaccess में निर्देश सेट करें; वर्डप्रेस पर nginx के साथ, स्निपेट्स को अपने सर्वर ब्लॉक में जोड़ें और पुनः लोड करें। एक्स-कंटेंट-टाइप-ऑप्शंस और एचएसटीएस (न्यूनतम जोखिम) से शुरू करें, पहले सीएसपी को केवल रिपोर्ट मोड में परीक्षण करें।

सर्वर जैसे हेडर: nginx/1.24.0 या X-Powered-By: PHP/8.3 सटीक सॉफ़्टवेयर संस्करण प्रकट करते हैं, जो हमलावरों को संस्करण-विशिष्ट कारनामों को देखने देता है। रिपोर्ट उन्हें चिह्नित करती है ताकि आप उन्हें हटा सकें या उनका सामान्यीकरण कर सकें।