{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "Копытов Иван: заметки с тегом Set-Cookie", "_rss_description": "Блог ленивого сисадмина", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/kini24.ru\/tags\/set-cookie\/", "feed_url": "https:\/\/kini24.ru\/tags\/set-cookie\/json\/", "icon": false, "authors": [ { "name": "Копытов Иван", "url": "https:\/\/kini24.ru\/", "avatar": false } ], "items": [ { "id": "8", "url": "https:\/\/kini24.ru\/all\/povyshenie-bezopasnosti-servera-pri-pomoschi-zagolovkov\/", "title": "Повышение безопасности сервера при помощи заголовков", "content_html": "

Для увеличения степени безопасности сервера понадобится добавить или удалить несколько заголовков, которые он отдает при запросе страниц. Я не буду подробно расписывать какой из них за что отвечает, ограничусь лишь кратким описанием.<\/p>\n

    \n
  1. HTTP Strict Transport Security (HSTS) <\/a>— позволяет форсировать HTTPS подключение.<\/li>\n
  2. HTTP Public Key Pinning (HPKP) <\/a> — позволяет создать своеобразную «электронную подпись» для вашего сайта.<\/li>\n
  3. X-Download-Options со значением «noopen» позволяет запретить открытие любых файлов с вашего сайта (например, документов в формате PDF), становится возможно только скачать их.<\/li>\n
  4. X-Content-Type-Options со значением «nosniff» инструктирует Internet Explorer версии 8 не определять автоматически content-type, а использовать уже полученный.<\/li>\n
  5. Еще один заголовок X-XSS-Protection со значением «1; mode=block» активирует встроенную защиту от XSS (Cross-Site Scripting, «межсайтовый скриптинг»).<\/li>\n
  6. X-Frame-Options со значением «SAMEORIGIN» запрещает открывать страницы вашего сайта во фрейме на чужом сайте.<\/li>\n
  7. Заголовок Set-Cookie должен указываться с параметрами HttpOnly и Secure. Это предотвратит XSS-атаки и защитит cookie от кражи при помощи скрипта javascript.<\/li>\n
  8. В заголовке Server также должна быть указана минимальная информация о сервере. Например, просто Apache. Это не даст злоумышленнику получить дополнительную информацию о программном обеспечении, установленном на вашем сервере.<\/li>\n
  9. По аналогичным причинам рекомендуется убрать заголовок X-Powered-By, если таковой присутствует.<\/li>\n<\/ol>\n

    И, как обычно, есть ресурсы, с помощью которых можно проверить насколько корректно вы указали эти заголовки. Первый из них — securityheaders.io<\/a>, работает очень быстро, корректно указанные по его мнению заголовки выделяются зеленым цветом. Некоторые он не выделяет, но, думаю, что на них он просто не обращает внимание.<\/p>\n

    Второй ресурс — Redbot<\/a>. В левой части страницы он показывает заголовки, которые он смог получить. В правой вкратце описывается действие заголовка, также значками выделяется корректность их указания. Стадия их получения почему-то немного затянута, на мой взгляд — около 1 минуты, будем надеяться, что это будет исправлено. Также есть возможность включить в запрос дополнительные параметры.<\/p>\n

    Если вы думаете, что я что-то пропустил, то пишите в комментариях.<\/p>\n", "date_published": "2016-08-31T11:39:41+07:00", "date_modified": "2016-09-03T14:05:51+07:00", "tags": [ "hsts", "HTTP Public Key Pinning", "HTTP Strict Transport Security", "HttpOnly", "HTTPS", "noopen", "nosniff", "SAMEORIGIN", "Secure", "security", "Server", "Set-Cookie", "X-Content-Type-Options", "X-Download-Options", "X-Frame-Options", "X-Powered-By", "X-XSS-Protection", "XSS", "безопасность", "сервер" ], "_date_published_rfc2822": "Wed, 31 Aug 2016 11:39:41 +0700", "_rss_guid_is_permalink": "false", "_rss_guid": "8", "_e2_data": { "is_favourite": false, "links_required": [], "og_images": [] } } ], "_e2_version": 4134, "_e2_ua_string": "Aegea 11.3 (v4134)" }