Создание защищенных веб-приложений нет так просто, но есть ряд небольших фишек, которые вы можете применить, установив HTTP заголовки безопасности, помогающие защитить Ваш сайт.
При относительно простых изменениях конфигурации, современные заголовки, такие как Content-Security-Policy и X-Frame-Options позволяют защитить ваш сайт от межсайтового скриптинга (XSS атак) или кликджекинга (ClickJacking).
К сожалению, многие люди не знают о HTTP заголовках безопасности и как просто их настроить. Новый веб-сервис – securityheaders.io, покажет каких заголовков не хватает на сайте и даст советы по их настройке.
Самое интересное то, что, судя по тестам, большинство сайтов не защищено заголовками безопасности. Рейтинг A+ получили только 3 из 28 тысяч сайтов. 19 тысяч из которых не продвинулись выше рейтинга F.
Если Ваш сайт получил самый низкий рейтинг F – самое время обратить внимание на стратегию безопасности.
Чтобы посмотреть все отправляемые сайтом заголовки, Вы можете воспользоваться нашим инструментом.
