Knowledge Base

Security Header Quality Engine

Идея

Категория: Security Strategy · Риск: medium

Идея

Проверка заголовков должна отвечать не только "есть или нет", а "насколько хорошо настроено".

Пример:

| Signal | Weak | Strong | |---|---|---| | CSP | `unsafe-inline`, wildcard | строгие источники, `object-src 'none'`, `frame-ancestors` | | HSTS | маленький `max-age` | `max-age=31536000; includeSubDomains` | | Cookies | нет `SameSite` | `Secure`, `HttpOnly`, `SameSite=Lax/Strict` |