چگونه هدرهای امنیتی را به سایت خود اضافه کنم؟

این مقاله درباره نحوه افزودن هدرهای امنیتی به سایت می باشد. هدرهای امنیتی را می توان مستقیماً به فایل htaccess. سایت شما اضافه کرد. فایل .htaccess معمولاً در webroot سایت شما قرار دارد. یک مکان رایج در هاست شما در پوشه / public html/ خواهد بود. با ورود به سایت خود با استفاده از SFTP یا SSH می توانید به فایل htaccess. دسترسی پیدا کنید. ویرایش فایل htaccess باید توسط یک شخص فنی تر انجام شود، افزودن یک قانون به اشتباه ممکن است منجر به خطای سرور داخلی 500 شود. افزودن سربرگ امنیتی اشتباه به سایت شما نیز ممکن است منجر به عدم کارکرد برخی از عملکردها آنطور که انتظار می رود منجر شود.

خودم افزودن هدرهای امنیتی به سایت را انجام دهم یا به شخصی دیگر بسپارم؟

قبل از اینکه به اصل مقاله برسیم باید خدمتتان یک هشدار بدهیم! آن هم اینکه بحث امنیت وبسایت موضوعی است فنی که بهتر است توسط یک شخص آشنا به این مسائل انجام شود. بنابراین اگر خودتان برنامه نویس یا کارشناس هستید، این مقاله را تا انتها با دقت دنبال کنید. اما در غیر این صورت به شما پیشنهاد می کنیم که یا با تهیه دوره امنیت سایت ما ابتدا همه تمهیدات امنیتی سایت را بیاموزید و یا اینکه خدمات افزایش امنیت سایت خود را به ما بسپارید.

نحوه افزودن و اضافه کردن هدرهای امنیتی به سایت

سرصفحه های امنیتی را می توان به فایل htaccess. شما اضافه کرد. فایل htaccess. از بالا به پایین تجزیه می‌شود، بنابراین مهم است که هنگام افزودن سرصفحه‌های امنیتی آن را در نظر داشته باشید.

مثال کامل:

سرصفحه های امنیتی اضافه شده در زیر تنها نمونه ای از نحوه نمایش آن در فایل htaccess. شما هستند. عاقلانه استفاده کنید و فقط در صورتی که می دانید سرفصل های امنیتی را به سایت خود اضافه کنید.

# Security Headers
<IfModule mod_headers.c>
Header set Content-Security-Policy “upgrade-insecure-requests”
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”
Header set X-Xss-Protection “1; mode=block”
Header set X-Frame-Options “SAMEORIGIN”
Header set X-Content-Type-Options “nosniff”
Header set Referrer-Policy “strict-origin-when-cross-origin”
Header set Permissions-Policy “geolocation=self”
</IfModule>

چرا باید سرصفحه های امنیتی را به سایت خود اضافه کنم؟

افزودن هدرهای امنیتی به سایت شما ممکن است برای اهداف مختلف مفید باشد. برخی از سرصفحه‌های امنیتی لایه‌های امنیتی را به سایت شما اضافه می‌کنند، سربرگ‌های دیگر به مرورگرهای مدرن می‌گویند که کدام ویژگی‌های مرورگر مجاز هستند (Permissions-Policy).

چه هدرهای امنیتی را باید اضافه کنم؟

گزینه های زیادی وجود دارد و برخی از گزینه ها با گزینه های خاص خود همراه هستند. هدرهای امنیتی HTTP بسیار سرگرم کننده هستند، اما در بیشتر موارد بسیار مختص سایت هستند. همچنین به همین دلیل است که ما به تک تک گزینه‌های موجود در زیر اشاره نمی‌کنیم زیرا به احتمال زیاد به همه آنها نیاز ندارید.

هدرهای امنیتی مختلف و کاری که انجام می دهند:
در این بخش، کارهایی را که برخی از هدرهای امنیتی انجام می دهند را توضیح خواهیم داد. برای اطلاعات بیشتر در مورد سرصفحه های امنیتی مختلف.

Content-Security-Policy

هدر Content-Security-Policy به شما این امکان را می دهد که منابع تایید شده برای محتوای سایت خود را که مرورگر مجاز به بارگذاری آن است، تعریف کنید. با مشخص کردن تنها منابعی که می‌خواهید مرورگر محتوا را از آنها بارگیری کند، می‌توانید از بازدیدکنندگان خود در برابر طیف وسیعی از مسائل محافظت کنید. این یک راه موثر برای مسدود کردن تلاش‌های Cross-Site Scripting (XSS) است. هنگام تنظیم این سرصفحه ها، مهم است که آنها به درستی آزمایش شوند، زیرا اجازه می دهند چه محتوایی بارگذاری شود و چه محتوایی مسدود شود. مسدود کردن محتوای اشتباه ممکن است باعث رفتار عجیب در سایت شما شود.

<IfModule mod_headers.c>
Header set Content-Security-Policy “upgrade-insecure-requests”
</IfModule>

Strict-Transport-Security

سربرگ پاسخ Strict-Transport-Security (همچنین به عنوان HSTS شناخته می شود) به یک وب سایت اجازه می دهد به مرورگرها بگوید که به جای استفاده از HTTP، فقط باید با استفاده از HTTPS به آن دسترسی داشت.

<IfModule mod_headers.c>
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”
</IfModule>

X-Xss-Protection

هدر پاسخ X-XSS-Protection یک ویژگی است که هنگام شناسایی حملات اسکریپت متقابل (XSS) منعکس شده، بارگذاری صفحات را متوقف می کند.

به عنوان مثال در زیر، به مستندات برای استفاده مراجعه کنید.

<IfModule mod_headers.c>
Header set X-Xss-Protection “1; mode=block”
</IfModule>

X-Frame-Options

هدر X-Frame-Options برای محافظت از بازدیدکنندگان شما در برابر حملات احتمالی کلیک جک استفاده می شود. به مرورگر دستور می دهد که چه سایت هایی مجاز به استفاده از فریم برای جاسازی سایت شما هستند. به دلیل این سادگی، اجرای آن یک هدر آسان است و معمولاً مشکلی ایجاد نمی کند.

<IfModule mod_headers.c>
Header set X-Frame-Options “SAMEORIGIN”
</IfModule>

X-Content-Type-Options

یکی دیگر از موارد آسان برای استفاده X-Content-Type-Options است. این فقط یک مقدار معتبر دارد، و اگر تنظیم شود، از تلاش مرورگرها برای شناسایی نوع محتوای یک پاسخ دور از پاسخی که توسط سرور اعلام شده است جلوگیری می‌کند. به عنوان یک اثر، این قرار گرفتن در معرض بارگیری‌های درایو و خطرات محتوای آپلود شده توسط کاربر را کاهش می‌دهد که می‌تواند به عنوان یک نوع محتوای متفاوت، مانند یک فایل اجرایی در نظر گرفته شود.

<IfModule mod_headers.c>
Header set X-Content-Type-Options “nosniff”
</IfModule>

Referrer-Policy

Referrer-Policy نیاز به تفکر بیشتری دارد. این به مرورگر دستور می دهد که هنگام کلیک کردن روی پیوندهای سایت های دیگر از چه ارجاعی استفاده کند. این می تواند در شرایطی مفید باشد که می خواهید مقدار اطلاعات ارسالی همراه با هر کلیک را محدود کنید.

<IfModule mod_headers.c>
Header set Referrer-Policy “strict-origin-when-cross-origin”
</IfModule>

Permissions-Policy

این هدر قبلاً با نام سیاست ویژگی خوانده می شد، اما از زمان معرفی آن تغییر کرده است. بنابراین اگر هر سایتی به سرفصل سیاست ویژگی HTTP اشاره می کند، منظور آنها این است. این هدر به شما امکان می دهد برخی از ویژگی های پلت فرم وب را در سایت خود و در صفحاتی که جاسازی کرده اید غیرفعال یا فعال کنید.

<IfModule mod_headers.c>
Header set Permissions-Policy “geolocation=self”
</IfModule>

چگونه می توانم هدرهای امنیتی خود را بررسی کنم؟

اگر قبلاً هدرهای امنیتی را به سایت خود اضافه کرده‌اید و می خواهید ببینید که آیا آنها معتبر هستند یا نه، می توانید از ابزار خارجی Securityheaders.com برای بررسی آن استفاده کنید. یا می توانید هدرهای سایت خود را بررسی کنید.