_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

HTTP Security Headers — kompletní přehled

01. 01. 2024 1 min čtení intermediate

Správné HTTP security headers jsou nejlevnější bezpečnostní opatření. Jeden řádek konfigurace může zastavit celou kategorii útoků.

Kompletní sada — Nginx

add_header Strict-Transport-Security “max-age=63072000; includeSubDomains; preload” always; add_header X-Frame-Options “DENY” always; add_header X-Content-Type-Options “nosniff” always; add_header Referrer-Policy “strict-origin-when-cross-origin” always; add_header Permissions-Policy “camera=(), microphone=(), geolocation=()” always; add_header Content-Security-Policy “default-src ‘self’” always; add_header Cross-Origin-Opener-Policy “same-origin” always;

Co který header dělá

  • HSTS: Vynutí HTTPS, brání SSL stripping
  • X-Frame-Options: Brání clickjackingu
  • X-Content-Type-Options: Zabrání MIME sniffingu
  • Referrer-Policy: Kontroluje Referer header
  • Permissions-Policy: Omezuje přístup k API (kamera, GPS)

Testování

curl -I https://example.com

Online: securityheaders.com, observatory.mozilla.org

Klíčový takeaway

Přidejte všechny security headers. Zabere 5 minut, chrání proti clickjackingu, XSS, MIME sniffingu.

securityhttpheadersweb

Další know-how

Burp Suite základy — web security testing

Jak používat Burp Suite pro testování webových aplikací.

OWASP Top 10 — bezpecnost webovych aplikaci

OWASP doporuceni v Java EE. SQL injection, XSS, CSRF a jak se branit.

Content Security Policy (CSP) — praktický průvodce

CSP header pro ochranu proti XSS. Direktivy, nonce, reporting.