Knowledge Base

Security Headers: обзор обязательных заголовков

Обязательные заголовки

Категория: HTTP · Риск: low

Обязательные заголовки

| Заголовок | Угроза | Приоритет | |-----------|--------|-----------| | `Strict-Transport-Security` | MitM через HTTP | Высокий | | `Content-Security-Policy` | XSS | Высокий | | `X-Frame-Options` | Clickjacking | Средний | | `X-Content-Type-Options` | MIME sniffing | Средний | | `Referrer-Policy` | Утечка URL | Низкий | | `Permissions-Policy` | Лишние API браузера | Низкий |

Минимальный набор для Nginx (блок server)

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
# CSP добавляйте отдельно после тестирования:
add_header Content-Security-Policy "default-src 'self'; object-src 'none'" always;

Быстрая проверка

# Проверить все заголовки одной командой
curl -sI https://example.com | grep -iE \
  'strict|content-security|x-frame|x-content|referrer|permissions'

Онлайн-оценка: securityheaders.com