HTTP güvenlik başlıkları, tarayıcıya sitenizi nasıl koruyacağını söyleyen yanıt başlıklarıdır. Doğru yapılandırıldığında XSS, clickjacking ve protokol düşürme gibi yaygın saldırıları büyük ölçüde engeller.
En Önemli Güvenlik Başlıkları
HSTS (Strict-Transport-Security)
Tarayıcıyı siteye yalnızca HTTPS ile bağlanmaya zorlar, SSL stripping saldırılarını önler. Örnek: Strict-Transport-Security: max-age=63072000; includeSubDomains
CSP (Content-Security-Policy)
Sayfada hangi kaynakların (script, stil, görsel) yükleneceğini sınırlar; XSS’in etkisini büyük ölçüde azaltır. Önce Content-Security-Policy-Report-Only ile test edin.
X-Frame-Options
Sitenizin başka sayfalarda iframe içine gömülmesini engelleyerek clickjacking’i önler: X-Frame-Options: SAMEORIGIN
X-Content-Type-Options
nosniff değeriyle tarayıcının MIME türü tahminini kapatır.
Nginx’te Nasıl Eklenir?
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
A+ Almak İçin
Tüm önerilen başlıkları ekleyin, CSP’yi sitenize göre dikkatlice tanımlayın ve HTTP güvenlik başlıkları test aracımızla eksikleri tek tek kapatın. Araç, mevcut ve eksik başlıkları yan yana gösterir ve A–F notu verir.