Co to są nagłówki HTTP bezpieczeństwa?
Nag?ówki HTTP bezpieczeństwa instruują przeglądarkę jak ma się zachowywać podczas przetwarzania treści strony, chroniżc przed atakami XSS, clickjacking i innymi.
Najważniejsze nagłówki
Dodaj do pliku .htaccess:
# Ochrona przed clickjacking
Header always set X-Frame-Options "SAMEORIGIN"
# Ochrona przed XSS
Header always set X-XSS-Protection "1; mode=block"
# Zapobiegaj MIME sniffing
Header always set X-Content-Type-Options "nosniff"
# Kontrola udostępniania referrer
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# Permissions Policy (ograniczenie API przeglądarki)
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
# HSTS (wymaga aktywnego SSL!)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"Content Security Policy (CSP)
Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://www.google-analytics.com; style-src 'self' 'unsafe-inline'"Uwaga: CSP wymaga dostosowania do Twojej strony — zbyt restrykcyjny może blokowa? legalne skrypty. Testuj w trybie Report-Only przed pełnym wdrożeniem.
