Налаштування HTTP-заголовків безпеки: Практична інструкція

Сьогодні я хочу поговорити про те, що не видно неозброєним оком, але що є фундаментом безпеки сучасного сайту. Уявіть, що ваш сайт — це фортеця. Ви можете мати міцні стіни (надійний хостинг) і складний пароль від воріт (адмінки), але якщо ви не дасте чітких інструкцій варті, як реагувати на шпигунів та диверсантів, ваша оборона буде слабкою.

HTTP-заголовки безпеки — це і є ті самі інструкції для браузера відвідувача. Вони наказують йому, як поводитися з вашим контентом, яким джерелам довіряти, і як захищатися від типових атак. У цій інструкції я покажу вам, як налаштувати найважливіші з них, перетворивши ваш сайт на справжню цифрову фортецю.

 

Чому це так важливо?

Правильно налаштовані заголовки безпеки — це вже не рекомендація, а стандарт для будь-якого якісного вебресурсу. Ось що ви отримуєте:

• Захист від поширених атак: Ви ускладнюєте життя хакерам, які намагаються провести атаки типу XSS, клікджекінг або викрадення даних.
• Підвищення довіри користувачів: Браузери візуально показують безпечне з’єднання, а захищений сайт викликає більше довіри.
• Позитивний сигнал для SEO: Хоча це і не прямий фактор ранжування, Google цінує безпечні сайти. Наявність HTTPS (яке посилюється заголовком HSTS) є чітким сигналом якості. Детальніше про це можна почитати в одній з моїх статей у блозі.

 

“Джентльменський набір”: 5 ключових HTTP-заголовків

Я не буду перевантажувати вас десятками заголовків, а зосереджуся на п’яти, які дадуть максимальний ефект і є обов’язковими для впровадження.

 

1. Strict-Transport-Security (HSTS)

Що робить: Примусово змушує браузер спілкуватися з вашим сайтом тільки через безпечне HTTPS-з’єднання, навіть якщо користувач введе в адресному рядку http://. Це захищає від атак “людина посередині”.

Приклад для .htaccess:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS

Що означають ці директиви?

max-age=31536000 — наказує браузеру пам’ятати це правило протягом одного року (в секундах).
includeSubDomains — поширює дію правила на всі ваші піддомени.

Важливо: Включайте цей заголовок тільки тоді, коли ви на 100% впевнені, що весь ваш сайт та піддомени працюють по HTTPS.

 

2. X-Frame-Options

Що робить: Захищає від клікджекінгу (Clickjacking). Цей заголовок забороняє або обмежує вбудовування вашого сайту в <iframe> на інших ресурсах. Про те, що таке iframe, я детально розповідав у попередній статті.

Приклад для .htaccess:

Header always set X-Frame-Options "SAMEORIGIN"

Тут SAMEORIGIN дозволяє вбудовувати сторінку тільки в межах вашого ж домену. Існує також опція DENY, яка повністю забороняє будь-яке вбудовування.

 

3. X-Content-Type-Options

Що робить: Запобігає “MIME-sniffing” атакам. Цей простий заголовок з єдиною директивою nosniff забороняє браузеру “вгадувати” тип контенту. Якщо сервер каже, що це скрипт, браузер не буде намагатися виконати його як щось інше. Це блокує певний клас XSS-атак.

Приклад для .htaccess:

Header set X-Content-Type-Options "nosniff"

 

4. Referrer-Policy

Що робить: Контролює, скільки інформації про джерело переходу буде передано при кліку на посилання. Це важливо для приватності користувачів.

Приклад для .htaccess:

Header set Referrer-Policy "strict-origin-when-cross-origin"

Це одна з найзбалансованіших політик: при переході в межах вашого сайту передається повний URL, а при переході на інший сайт — тільки доменне ім’я.

 

5. Content-Security-Policy (CSP)

Що робить: Це найпотужніший, але і найскладніший у налаштуванні заголовок. Він дозволяє створити “білий список” джерел, з яких браузеру дозволено завантажувати ресурси (скрипти, стилі, зображення, шрифти). Це ефективний засіб проти XSS-атак.

Приклад для .htaccess (базова політика):

Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com;"

Як читати цю політику?

default-src 'self' — за замовчуванням дозволяє завантажувати ресурси тільки з власного домену.
script-src 'self' https://trusted-cdn.com — скрипти можна завантажувати з власного домену та з довіреного CDN.
style-src 'self' https://fonts.googleapis.com — стилі можна завантажувати з власного домену та з Google Fonts.
font-src 'self' https://fonts.gstatic.com — шрифти можна завантажувати з власного домену та з серверів Google.

Увага: Неправильне налаштування CSP може “зламати” ваш сайт. Починайте з простої політики і поступово додавайте правила.

 

Як все це впровадити та перевірити?

Найпростіший спосіб для більшості сайтів на віртуальному хостингу — додати ці правила у файл .htaccess, який знаходиться у кореневій папці вашого сайту.

Готовий блок для копіювання:

<IfModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
    Header always set X-Frame-Options "SAMEORIGIN"
    Header set X-Content-Type-Options "nosniff"
    Header set Referrer-Policy "strict-origin-when-cross-origin"
    # Починайте з простого CSP або закоментуйте його, якщо не впевнені
    # Header set Content-Security-Policy "default-src 'self';"
</IfModule>

Після збереження змін, ви можете перевірити наявність заголовків. Для цього відкрийте ваш сайт у браузері, натисніть F12, перейдіть на вкладку “Network” (Мережа), перезавантажте сторінку, клікніть на перший запит (ваш документ) і подивіться на “Response Headers” (Заголовки відповіді).

 

 

Висновок: Безпека — це процес, а не разова дія