Security Headers — הגנות שמופעלות בכותרת אחת
צוות CyberHub · לפני 20 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
כותרות HTTP מיוחדות מאפשרות לאתר להגן על המשתמשים מ-XSS, clickjacking ועוד. נכיר את החשובות: CSP, HSTS, X-Frame-Options.
בכל תגובת HTTP יש "כותרות" (headers). חלקן הן הגנות אבטחה חזקות שמופעלות בשורה אחת.
הכותרות החשובות
- Content-Security-Policy (CSP) — מגדירה איזה קוד/משאבים מותר לטעון. הגנה מצוינת מ-XSS. (יש לנו אחת באתר הזה!)
- Strict-Transport-Security (HSTS) — כופה HTTPS תמיד, מונע SSL stripping.
- X-Frame-Options / frame-ancestors — מונע הטמעת האתר ב-iframe (הגנה מ-clickjacking).
- X-Content-Type-Options: nosniff — מונע "ניחוש" סוג קובץ.
- Referrer-Policy — שולט כמה מידע נשלח על מאיפה הגעתם.
- Permissions-Policy — מגביל גישה למצלמה/מיקרופון/מיקום.
איך בודקים?
כלים כמו securityheaders.com נותנים לאתר ציון. כדאי לכל אתר.
הלקח
זו "פרי תלוי נמוך" — הגנות חזקות בעלות מינימלית. אתר רציני מגדיר אותן. כשתבנו אתר — אל תשכחו אותן.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🛡️ עוד הגנה
Defense in Depth — למה הגנה אחת אף פעם לא מספיקה
הגנה לעומק (Defense in Depth) היא אסטרטגיה של שכבות הגנה מרובות, כך שאם אחת נכשלת — האחרות עדיין מגנות. עיקרון יסוד באבטחה.
כלל 3-2-1 לגיבויים — ההגנה הכי טובה מפני כופרה
מתקפת כופרה (Ransomware) מצפינה את הקבצים שלכם ודורשת תשלום. הגנה אמיתית אחת עובדת תמיד: גיבוי טוב. כלל 3-2-1 הוא הסטנדרט.
סיסמאות חזקות ו-2FA: ההגנה שכל אחד חייב
רוב הפריצות לחשבונות פרטיים לא דורשות 'האקר גאון' — אלא סיסמה חלשה או כזו שדלפה. הנה איך מגינים על עצמכם ב-10 דקות.