Анализатор заголовков безопасности

Заголовки безопасности — это инструкции, которые веб-сервер отправляет с каждым ответом, которые сообщают браузерам, как вести себя в целях защиты: Content-Security-Policy ограничивает место загрузки скриптов, Strict-Transport-Security принудительно применяет HTTPS, X-Frame-Options блокирует кликджекинг и т. д. Это один из самых дешевых и эффективных шагов по укреплению безопасности, которые может предпринять сайт.

Оценка подсчитывает, сколько из шести основных заголовков присутствует (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). Все шестеро получили пятёрку; A+ дополнительно требует как минимум одного заголовка изоляции между источниками (COOP/CORP/COEP) и отсутствия ослабляющих флагов, таких как unsafe-inline, в вашем CSP.

Не напрямую — Google не ранжирует по заголовкам безопасности. Тем не менее, HSTS защищает опыт HTTPS, который Google измеряет, и защищенный сайт с меньшей вероятностью будет взломан и занесен в черный список, что полностью разрушает рейтинг. Относитесь к заголовкам как к страховке ваших инвестиций в SEO.

Каждый отсутствующий заголовок в вашем отчете включает готовый к вставке фрагмент исправления nginx. В Apache всегда используйте директивы Header, устанавливающие в .htaccess; в WordPress с nginx добавьте фрагменты в блок сервера и перезагрузите. Начните с X-Content-Type-Options и HSTS (самый низкий риск), сначала протестируйте CSP в режиме только отчетов.

Такие заголовки, как Server: nginx/1.24.0 или X-Powered-By: PHP/8.3, показывают точные версии программного обеспечения, что позволяет злоумышленникам искать эксплойты для конкретной версии. В отчете они помечаются, чтобы вы могли их удалить или обобщить.