Реестр проверок · Безопасность
На сайте не включены защитные настройки браузера
Заметно проверяем автоматически
Что означает эта проверка
Когда браузер открывает сайт, сайт может передать ему специальные защитные настройки (security headers) — они защищают посетителей от подмены страниц и перехвата данных. Часть этих настроек на сайте не включена.
Где смотрим: Ответ сервера при открытии главной страницы сайта.
Когда всё исправлено
Базовые защитные настройки (security headers) на сайте включены.
Какие факты мы собираем
- Защитные настройки сайта проверены. Открывает главную страницу сайта и смотрит, какие защитные настройки (security headers) сервер передаёт браузеру.
Как исправить
- Включите защитные настройки на веб-сервере nginx — Попросите специалиста, который обслуживает сайт, добавить строки из готового текста в конфигурацию сайта (блок server) и перезапустить nginx. После этого проверьте, что сайт открывается как обычно.
add_header Strict-Transport-Security "max-age=31536000" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "SAMEORIGIN" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; add_header Content-Security-Policy "frame-ancestors 'self'" always;
- Включите защитные настройки на веб-сервере Apache — Если сайт работает на Apache, включите модуль headers (команда a2enmod headers), добавьте строку из готового текста в конфигурацию сайта и такие же строки Header always set для X-Content-Type-Options (nosniff), X-Frame-Options (SAMEORIGIN), Referrer-Policy (strict-origin-when-cross-origin) и Content-Security-Policy (frame-ancestors 'self'), затем перезапустите Apache.
Header always set Strict-Transport-Security "max-age=31536000"
Какие требования подтверждает
-
Базовые security headers должны быть настроены Стандарт безопасности CPLY, CPLY Security Baseline, раздел security_headers
Зелёная карточка: базовые security headers присутствуют и не ослабляют защиту.
Красная карточка: отсутствуют критичные заголовки для сайта с формами или сессиями.