HTTP Güvenlik Başlıkları Referansı
HTTP güvenlik başlıkları referansı ve denetleyicisi — CSP, HSTS, X-Frame-Options, CORS ve daha fazlası.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Önerilen Değer: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Olmadığında Güvenlik Riski: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Önerilen Değer: max-age=31536000; includeSubDomains; preload
Olmadığında Güvenlik Riski: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Önerilen Değer: DENY or SAMEORIGIN
Olmadığında Güvenlik Riski: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Önerilen Değer: nosniff
Olmadığında Güvenlik Riski: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Önerilen Değer: strict-origin-when-cross-origin
Olmadığında Güvenlik Riski: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Önerilen Değer: camera=(), microphone=(), geolocation=(self)
Olmadığında Güvenlik Riski: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Önerilen Değer: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Olmadığında Güvenlik Riski: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Önerilen Değer: GET, POST, PUT, DELETE (only what is needed)
Olmadığında Güvenlik Riski: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Önerilen Değer: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Olmadığında Güvenlik Riski: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Önerilen Değer: same-origin or same-site
Olmadığında Güvenlik Riski: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Önerilen Değer: same-origin
Olmadığında Güvenlik Riski: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Önerilen Değer: 1; mode=block (legacy) or omit in favor of CSP
Olmadığında Güvenlik Riski: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Başlık Denetleyici
Kontrol etmek için HTTP yanıt başlıklarınızı yapıştırın
Bu araç hakkında
HTTP güvenlik başlıkları, web tarayıcılarına yaygın web açıklarına karşı nasıl korunacağını söyleyen özel yanıt başlıklarıdır. Önbelleğe alma veya içerik sunumunu kontrol eden genel HTTP başlıklarının aksine, güvenlik başlıkları, siteler arası komut dosyası (XSS), tıklama hijackı, MIME türü istismarı ve kaynaklar arasında veri hırsızlığı gibi saldırıları önleyerek web uygulamanızın etrafında bir savunma çevresi oluşturur.
Bu araç, tüm önemli güvenlik başlıkları için kapsamlı bir referans ve mevcut güvenlik duruşunuzu analiz eden etkileşimli bir denetçi sağlar. HTTP yanıt başlıklarınızı yapıştırın veya bir etki alanı girin ve hangi güvenlik başlıklarının mevcut olduğunu, hangilerinin eksik olduğunu ve yapılandırmanızın endüstri en iyi uygulamalarıyla karşılaştırıldığında nasıl derecelendirildiğini anında göreceksiniz.
Web geliştiricileri, DevOps mühendisleri ve güvenlik ekipleri bu referansı kod değişiklikleri olmadan dağıtımlarını güçlendirmek için kullanır. Çoğu güvenlik başlığı tamamen sunucu yapılandırması, ters proxy kuralları veya uygulama çerçevesi eklentileri aracılığıyla yapılandırılır — bu da onları sitenizin modern tehditler karşısında dayanıklılığını iyileştirmek için en hızlı kazanımlardan biri haline getirir.
Sıkça Sorulan Sorular
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.