Güvenlik Başlıkları Denetleyicisi: CSP, HSTS, X-Frame-Options ve Daha Fazlasını Test Edin

Genel bir web sitesi için HTTP güvenlik başlıklarını inceleyin ve CSP, HSTS, tıklama kaçırma koruması, yönlendiren bilgisi politikası, izin politikası ve kaynaklar arası izolasyon sinyallerini gözden geçirin.

Başlık güçlendirme

Güvenlik Başlıkları Denetleyicisi

Genel bir web sitesinin döndürdüğü savunma amaçlı HTTP başlıklarını kontrol edin.

Hazır

Denetleyici en fazla beş genel yönlendirmeyi takip eder ve son yanıtı değerlendirir.

Başlık sonuçları

Güvenlik başlığı ayrıntılarını görmek için bir kontrol çalıştırın.

Güvenlik başlığı skoruHenüz başlık kontrol edilmedi--/100

Başarılı bir kontrolden sonra güvenlik başlığı bulguları burada görünecek.

Neden çevrimiçi güvenlik başlığı denetimi çalıştırmalı

Çevrimiçi güvenlik başlığı denetleyicisi, genel bir sayfanın şu anda hangi savunma amaçlı HTTP başlıklarını döndürdüğünü doğrulamanıza yardımcı olur. Bu başlıklar uygulama güvenliği çalışmalarının yerini almaz; ancak tıklama kaçırma, MIME türü koklama, aşırı geniş yönlendiren bilgisi, zayıf çerçeveleme kuralları ve eksik HTTPS zorlaması gibi yaygın tarayıcı tarafı risklere maruziyeti azaltır.

Test nasıl çalışır

Araç girdiğiniz genel URL'ye sunucu tarafında HTTP veya HTTPS isteği yapar, en fazla beş genel yönlendirmeyi takip eder, son yanıt başlıklarını okur ve en yaygın güvenlik başlıklarının varlığını ve temel kalitesini derecelendirir. Strict-Transport-Security, Content-Security-Policy, CSP veya X-Frame-Options ile çerçeve koruması, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy ve Cross-Origin-Resource-Policy kontrollerini yapar.

Sonuçlar nasıl yorumlanır

Eksik ve başarısız başlıklarla başlayın, ardından başlık mevcut olsa bile modern tarayıcılar için zayıf olabilecek uyarıları inceleyin. Yüksek skor son yanıtın güçlü bir temel sunduğu anlamına gelirken, düşük skor sitenin web sunucusu, CDN, framework veya uygulama başlığı yapılandırmasını gözden geçirmesi gerektiğini gösterir.

  • HSTS, güvenli bir ziyaretten sonra tarayıcıların gelecekteki istekleri HTTPS üzerinde tutmasına yardımcı olur.
  • CSP script, stil, çerçeve, görsel ve diğer kaynakların nereden yüklenebileceğini sınırlar.
  • Çerçeve koruması tıklama kaçırma riskini azaltmaya yardımcı olur.
  • Yönlendiren bilgisi ve izin politikaları gereksiz tarayıcı veri maruziyetini azaltır.
  • COOP ve CORP kaynaklar arası gezinme bağlamlarını ve kaynakları izole etmeye yardımcı olur.

Bu kontrol son genel yanıt tarafından döndürülen başlıkları raporlar. Tüm uygulamayı denetlemez, CSP'nin kusursuz olduğunu kanıtlamaz, özel ağları test etmez veya kişisel veri saklamaz.

Sıkça Sorulan Sorular

Bu güvenlik başlıkları denetleyicisi neyi test eder?

Genel bir URL tarafından döndürülen HTTP yanıt başlıklarını kontrol eder. Rapor CSP, HSTS, çerçeve koruması, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP ve CORP üzerine odaklanır.

Güvenlik başlıkları denetleyicisi nasıl çalışır?

Araç girdiğiniz URL'ye sunucu tarafında istek yapar ve yanıt başlıklarını okur. Ardından başlıkları yaygın tarayıcı güvenliği kontrolleri için muhafazakar bir temel ile puanlar.

Protokol yazmadan alan adı test edebilir miyim?

Evet. Yalnızca alan adı girerseniz kontrol aracı varsayılan olarak HTTPS kullanır. Belirli bir yolu incelemek istediğinizde tam HTTP veya HTTPS URL'si de girebilirsiniz.

Mükemmel skor web sitemin güvenli olduğu anlamına gelir mi?

Hayır. Güvenlik başlıkları tarayıcı sıkılaştırmasının bir katmanıdır, tam güvenlik denetimi değildir. Güçlü skor, kontrol edilen yanıtın iyi bir başlık temeline sahip olduğunu gösterir; ancak uygulamanın yine de güvenli kod, kimlik doğrulama, yetkilendirme ve altyapı kontrollerine ihtiyacı vardır.

HSTS neden önemlidir?

HSTS, güvenli bağlantı görüldükten sonra tarayıcılara gelecekteki ziyaretlerde HTTPS kullanmalarını söyler. Anlamlı bir max-age ile yapılandırıldığında sürüm düşürme ve kazara düz HTTP maruziyetini azaltmaya yardımcı olur.

Content-Security-Policy neden uyarı gösterebilir?

CSP mevcut olabilir ama güvensiz satır içi script'ler veya unsafe eval gibi riskli desenlere hâlâ izin verebilir. Kontrol aracı bu durumları uyarı olarak işaretler; çünkü başlık yardımcı olur, ancak politikanın sıkılaştırılması gerekebilir.

Clickjacking koruması nedir?

Tıklama kaçırma koruması, başka bir sitenin sayfanızı çerçeve içine yerleştirip yerleştiremeyeceğini sınırlar. Genellikle CSP frame-ancestors veya daha eski X-Frame-Options başlığı ile yapılandırılır.

Sonuçlar ana sayfa ile başka bir URL arasında neden farklı olabilir?

Başlıklar rota, CDN kuralı, framework yanıtı veya kaynak servis göre yapılandırılabilir. Kullanıcıların yüklediği kesin URL'yi test edin; çünkü ana sayfa, giriş sayfası, API rotası ve statik varlık farklı başlıklar döndürebilir.

Bu denetleyici yönlendirmeleri takip eder mi?

Evet. En fazla beş genel HTTP veya HTTPS yönlendirmesini takip eder ve son yanıt başlıklarını değerlendirir; çünkü kullanıcıların genellikle aldığı başlıklar bunlardır. İstek yolunun nereye taşındığını inceleyebilmeniz için yönlendirme zinciri sonuçta gösterilir.

Bu araç özel veya yerel web sitelerini test edebilir mi?

Hayır. Genel alan adları ve genel HTTP veya HTTPS URL'leri için tasarlanmıştır. Localhost, özel ağlar, dahili ana makine adları ve ayrılmış IP aralıkları reddedilir.

Bu güvenlik başlıkları denetleyicisini kullanmak güvenli mi?

Evet. Denetleyici yalnızca genel URL'yi ister ve yanıt başlıklarını okur. Kimlik bilgisi gerektirmez, uzak siteyi değiştirmez ve kişisel veri saklamaz.

Önce hangi başlığı düzeltmeliyim?

Eksik CSP, HTTPS sayfalarda HSTS, çerçeve koruması ve X-Content-Type-Options ile başlayın. Ardından uygulamanızın içerik gömme ve kaynaklar arası kaynak kullanımına göre Referrer-Policy, Permissions-Policy, COOP ve CORP'u iyileştirin.