Справочник заголовков безопасности HTTP
Справочник и инспектор заголовков безопасности HTTP — CSP, HSTS, X-Frame-Options, CORS и другие.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Рекомендуемое значение: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Угроза безопасности без: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Рекомендуемое значение: max-age=31536000; includeSubDomains; preload
Угроза безопасности без: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Рекомендуемое значение: DENY or SAMEORIGIN
Угроза безопасности без: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Рекомендуемое значение: nosniff
Угроза безопасности без: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Рекомендуемое значение: strict-origin-when-cross-origin
Угроза безопасности без: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Рекомендуемое значение: camera=(), microphone=(), geolocation=(self)
Угроза безопасности без: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Рекомендуемое значение: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Угроза безопасности без: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Рекомендуемое значение: GET, POST, PUT, DELETE (only what is needed)
Угроза безопасности без: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Рекомендуемое значение: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Угроза безопасности без: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Рекомендуемое значение: same-origin or same-site
Угроза безопасности без: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Рекомендуемое значение: same-origin
Угроза безопасности без: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Рекомендуемое значение: 1; mode=block (legacy) or omit in favor of CSP
Угроза безопасности без: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Проверка заголовков
Вставьте заголовки ответа HTTP для проверки
Об этом инструменте
HTTP-заголовки безопасности — это специализированные заголовки ответа, которые указывают веб-браузерам, как защищаться от распространённых уязвимостей. В отличие от общих HTTP-заголовков, которые управляют кешированием или доставкой контента, заголовки безопасности создают оборонительный периметр вокруг вашего веб-приложения, предотвращая атаки, такие как межсайтовый скриптинг (XSS), кликджекинг, эксплуатация MIME-типов и кража данных между источниками.
Этот инструмент предоставляет как полный справочник по всем основным заголовкам безопасности, так и интерактивную проверку, которая анализирует вашу текущую позицию в области безопасности. Вставьте ваши HTTP-заголовки ответа или введите домен, и немедленно увидите, какие заголовки безопасности присутствуют, какие отсутствуют и как ваша конфигурация соответствует лучшим практикам отрасли.
Веб-разработчики, инженеры DevOps и команды безопасности используют этот справочник для укрепления развёртываний без изменений кода. Большинство заголовков безопасности настраиваются исключительно через конфигурацию сервера, правила обратного прокси или плагины фреймворков приложений — что делает их одной из самых быстрых побед для улучшения устойчивости вашего сайта к современным угрозам.
Часто задаваемые вопросы
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.