Почему это важно
- Отсутствие CSP — риск XSS-атак и кражи данных пользователей
- Без HSTS пользователи уязвимы для SSL-stripping на публичных Wi-Fi
- Без X-Frame-Options сайт можно вставить в iframe для clickjacking
- Без Referrer-Policy чувствительные URL утекают в analytics сторонних сервисов
- Permissions-Policy ограничивает доступ JS к камере, микрофону, геолокации
Частые вопросы
Вопрос
Что такое CSP и как его настроить?
Content-Security-Policy — заголовок, указывающий браузеру, из каких источников разрешено загружать скрипты, стили, изображения. Строгий CSP предотвращает XSS. Начните с Content-Security-Policy: default-src 'self' и постепенно добавляйте разрешённые домены.
Вопрос
Нужен ли HSTS если у сайта уже есть HTTPS?
Да. HTTPS сам по себе не защищает от SSL-stripping — атаки, при которой пользователь подключается по HTTP и злоумышленник перехватывает трафик. HSTS приказывает браузеру всегда использовать HTTPS для данного домена.
Вопрос
Что делает X-Frame-Options?
Запрещает или ограничивает встраивание страницы в iframe. DENY — запрещает полностью, SAMEORIGIN — только для того же домена. Защищает от clickjacking — атак, при которых пользователя обманом заставляют кликнуть на невидимый элемент.