چگونه امنیت هدرهای وب سایت خود را بالا ببریم ؟

سلام دوستان ،

راجعبه امنیت هدر های سایت چه اطلاعاتی دارید ؟ یک نقطه ضعف امنیتی سایت / سرور ها همین هدر ها هستن که زیاد جدی گرفته نمیشن.

این هدر ها اکثر در وب سرور قابل تنظیم هستند . من توی این پست به وب سرور apache و ngnix اشاره خواهم کرد. امیدوارد که برای شما هم مفید باشد.

 

۱ – X-XSS-Protection

هدر X-XSS-Protection توانایی جلوگیری از برخی حملات xss را دارد.این هدر سازگاری با اکثر مرورگر ها را هم دارد. اکثر وب سایت های بزرگ مانند google , facebook … از این هدر استفاده میکنند.

تنظیمات هدر X-XSS-Protection در apache

Header set X-XSS-Protection "1; mode=block"

بعد از اعمال تعییرات apache خود را ریستارت کنید

تنظیمات هدر X-XSS-Protection در nginx (در بلاک http)

add_header X-XSS-Protection "1; mode=block";

بعد از اعمال تغییرات ngnix خود را ریستارت کنید

۲ – HTTP Strict Transport Security

هدر HTTP Strict Transport Security اطمینان حاصل میکند که تمامی درخواست های مرورگر به HTTPS ارسال میشود.

قبل از تنظیم این هدر شما باید همه صفحات وب سایت قابل اجرا بر روی HTTPS هستند . این هدر هم توسط اکثر مرورگر های وب پشتیبانی میشود.

تنظیم  HTTP Strict Transport Security در apache

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

بعد از اعمال تعییرات apache خود را ریستارت کنید

تنظیم هدر HTTP Strict Transport Security در nginx (در بلاک server و قسمت ssl)

add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';

بعد از اعمال تغییرات ngnix خود را ریستارت کنید

۳ – X-Frame-Options

هدر X-Frame-Options برای جلوگیری از حملات Clickjacking هست.

۳ مقدار برای این هدر در نظر گرفته شده است که به ترتیب : SAMEORIGIN,DENY,ALLOW-FROM می باشند

SAMEORIGIN = همه وب سایت ها قادر خواهند بود وب سایت شما رو در iframe لود کنند

DENY = هیچ وب سایتی قادر نخواهد بود وب سایت شما را توسط iframe لود کند

ALLOW-FROM = اجازه میدهد وب سایت هایی که شما مشخص کرده اید ، وب سایت شما را در iframe لود کنند.

تنظیم هدر X-Frame-Options در apache

Header always append X-Frame-Options SAMEORIGIN

تنظیم هدر X-Frame-Options در nginx

add_header X-Frame-Options “SAMEORIGIN”;

بعد از اعمال تغییرات ngnix خود را ریستارت کنید

۴ – X-Content-Type-Options

برای جلوگیری از حملات MIME از هدر X-Content-Type-Options استفاده میکنیم. این هدر به مرورگر میگه file type های مجاز را ارسال/دریافت کند.

این هدر فقط یک آپشن دارد که nosniff می باشد.

تنظیم هدر X-Content-Type-Options در apache

Header set X-Content-Type-Options nosniff

تنظیم هدر X-Content-Type-Options در nginx

add_header X-Content-Type-Options nosniff;

۵ – Content Security Policy

برای جلوگیری از حملات XSS, clickjacking, code injection از CSP استفاده می شود. این هدر بر روی تمامی مرورگر ها قابل اجرا نمی باشد.

تنظیم هدر Content Security Policy در apache

Header set Content-Security-Policy "script-src 'self';"

تنظیم هدر Content Security Policy در nginx

add_header Content-Security-Policy "script-src 'self';";

۶ – X-Permitted-Cross-Domain-Policies

با استفاده از این هدر شما میتونید جلوگیری کنید از اینکه وب سایت هایی دیگه فایل هایی مانند pdf , flash , … رو از سایت شما توی سایت خودشون نمایش بدن.

خب این هدر واقعا برای همه مفید نیست . برخی دوس دارن فایل هاشون بنا به دلایل بازاریابیشون پخش بشه . اما اون دسته افرادی که دوس ندارن فایل هاشون از وب سایت های دیگه لود بشه میتونن از هدر X-Permitted-Cross-Domain-Policies استفاده کنن.

البته این هدر میتونه مقادیر مختلفی قبول کنه مثلا تمامی درخواست ها رو رد کن یا تمام درخواست ها رو قبول کن و اجازه بده فایل ها خونده بشه از وب سایت های دیگه
یا اینکه فقط فرمت خاصی از فایل ها رو اجازه دانلود بدین از وب سایت های دیگه.

تنظیم هدر X-Permitted-Cross-Domain-Policies در apache

Header set X-Permitted-Cross-Domain-Policies "none"

تنظیم هدر X-Permitted-Cross-Domain-Policies در nginx

add_header X-Permitted-Cross-Domain-Policies none;

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *