← Всі перевірки
Висока критичністьЩотижня
🛡

HTTP Security Headers

Перевіряємо наявність і правильне налаштування заголовків безпеки HTTP, які захищають від XSS, clickjacking та інших атак.

01 Що це таке?

HTTP Security Headers — це спеціальні заголовки, які сервер надсилає в HTTP-відповіді разом зі сторінкою. Вони повідомляють браузеру, як безпечно поводитися з контентом сайту: які ресурси дозволено завантажувати, чи можна вбудовувати сайт у фрейм, як обробляти типи контенту тощо. Ці заголовки невидимі для звичайного відвідувача, але є першою лінією захисту від цілого класу атак: XSS (Cross-Site Scripting), clickjacking, MIME-type sniffing та інших. Mozilla Observatory, який перевіряє заголовки безпеки, присвоює сайтам оцінку від A+ до F.

02 Чому це важливо для бізнесу?

  • Content Security Policy (CSP) — запобігає XSS-атакам, блокуючи виконання несанкціонованих скриптів
  • HSTS — змушує браузер завжди використовувати HTTPS, навіть якщо користувач набрав http://
  • X-Frame-Options — захищає від clickjacking-атак, де ваш сайт вбудовується у прозорий фрейм
  • Відсутність правильних заголовків — автоматичний мінус у деяких SEO-аудитах і оцінці безпеки
  • Партнери та корпоративні клієнти часто вимагають проходження security-аудиту для співпраці

03 Що саме перевіряємо

  • Content-Security-Policy (CSP) — наявність і базова коректність
  • Strict-Transport-Security (HSTS) — max-age, includeSubDomains, preload
  • X-Frame-Options — DENY або SAMEORIGIN
  • X-Content-Type-Options — nosniff
  • Referrer-Policy — наявність і значення
  • Permissions-Policy — обмеження доступу до API браузера (камера, мікрофон тощо)
  • Загальна оцінка за методологією Mozilla Observatory

04 Типові проблеми

Відсутній CSP заголовок

Content-Security-Policy — найважливіший заголовок безпеки. Без нього зловмисник, який зміг вставити скрипт (через XSS або зламаний плагін), може виконувати довільний JavaScript від імені вашого сайту.

Missing: Content-Security-Policy header

HSTS не налаштований або короткий max-age

Без HSTS браузер може перший запит зробити через HTTP (до редиректу), що дозволяє атаку SSL Stripping. Рекомендований max-age — мінімум 6 місяців (15768000 секунд).

Strict-Transport-Security: max-age=300 (занадто короткий)

X-Frame-Options відсутній

Без цього заголовка зловмисник може вбудувати ваш сайт у прозорий iframe і змусити користувача виконати дію (натиснути кнопку, ввести пароль), думаючи, що він на іншому сайті.

Missing: X-Frame-Options → clickjacking вразливість

05 Вплив на бізнес

Відсутність security headers не блокує сайт для відвідувачів, але відкриває вразливості, які можуть призвести до крадіжки даних клієнтів, вбудовування шкідливого коду або перехоплення сесій. Виправлення займає 1-2 години, але виявлення проблеми постфактум (після злому) — тижні відновлення і втрата довіри.

Хочете автоматичну перевірку цього параметра?

Rank Sentinel моніторить це і ще 20+ параметрів — щодня, без вашої участі.

🚀 Підключити моніторинг

5 000 грн/рік · Beta-ціна

Деталі перевірки

Критичність
Висока
Частота
Щотижня
Категорія
security

Схожі перевірки

🔒
SSL-сертифікат
Перевіряємо дійсність, рейтинг і термін дії SSL-сертифіката — щодня, із попередженням за 30 і 7 днів до закінчення.
📦
Вразливості JS-бібліотек
Знаходимо застарілі версії jQuery, Bootstrap та інших бібліотек з відомими CVE-вразливостями, які можуть бути проексплуатовані хакерами.
🖥
Версія PHP і веб-сервера
Перевіряємо версію PHP і програмного забезпечення веб-сервера. PHP 7.4 і нижче — end-of-life, більше не отримує патчі безпеки.