A biztonsági fejlécek (security headers) olyan HTTP fejlécek, amelyeket a web szerver küld a böngészőnek, hogy további biztonsági intézkedéseket biztosítson a weboldalak és az internetes alkalmazások használói számára. Ezek a fejlécek számos biztonsági problémára kínálnak megoldást, például megakadályozhatják az XSS és a clickjacking támadásokat, és segíthetnek a tartalom elemzésének elkerülésében. A biztonsági fejlécek egyre fontosabbak a modern webes alkalmazásokban és weboldalakon, mivel segítenek csökkenteni a biztonsági kockázatokat és védelmet nyújtanak a felhasználók számára. Összegyűjtöttük a 6 leggyakoribb fajtáját a biztonsági fejléceknek és azt hogy mi ellen védenek.
1. Content-Security-Policy
A Content-Security-Policy (CSP) segít megvédeni a webhelyet és a webhely látogatóit a Cross Site Scripting (XSS) támadásoktól és az adatinjekciós támadásoktól.
Cross-Site Scripting (XSS) exploitok akkor fordulnak elő, amikor a hackerek egy biztonsági rést kihasználva rosszindulatú szkripteket töltenek fel egy weboldalra, amelyek aztán letöltődnek az áldozat böngészőjébe.
Normális esetben például egy e-mail űrlapot úgy kell kódolni, hogy korlátozott bemenetet várjon el. Egy rosszul kódolt űrlap megengedhet más bemenetet is, ami rosszindulatú fájlok beviteléhez vezethet.
2. Strict-Transport-Security
A Strict-Transport-Security fejlécet HTTP Strict Transport Security fejlécnek (HSTS) is nevezik. Sok weboldal csak 301-es átirányítással rendelkezik HTTP-ről HTTPS-re. Ez azonban nem elég ahhoz, hogy a webhely biztonságos legyen, mert a webhely még mindig sebezhető egy man-in-the-middle támadással szemben.
A HSTS megakadályozza, hogy a támadó a HTTPS-kapcsolatot HTTP-kapcsolattá minősítse vissza, ami lehetővé teszi a támadó számára, hogy kihasználja a nem biztonságos átirányításokat, ha például valaki az example.com címet írja be egy webhely eléréséhez anélkül, hogy beírná a https részt (vagy csak megszokásból http-t ír be), akkor lehetőség nyílik egy man-in-the-middle támadásra. Ez a fajta támadás veszélyeztetheti a webhely látogatóinak a webhelyhez való kapcsolódását, és a látogató és a webhely között kicserélt érzékeny információk láthatóvá válnak a támadó számára.
3. X-Content-Type-Options
Ez a biztonsági fejléc megállít bizonyos típusú kihasználásokat, amelyek például rosszindulatú, felhasználó által generált tartalmakkal történhetnek. A böngészők képesek "kiszimatolni" (angolul sniff), hogy egy tartalom kép (.jpg), film (.mp4), vagy szöveg, HTML, JavaScript és más típusú, egy weboldalról letölthető tartalom.
A sniff lehetővé teszi a böngésző számára a weboldal elemeinek letöltését és helyes megjelenítését, különösen olyan helyzetekben, amikor a böngészőnek az elem megjelenítéséhez szükséges metaadatok hiányoznak. A sniff lehetővé teszi a böngésző számára, hogy kitalálja, mi az elem (kép, szöveg stb.), majd megjelenítse azt az elemet. A hackerek azonban megpróbálják becsapni a böngészőket, hogy azt higgyék, hogy egy káros JavaScript-fájl valójában egy kép, lehetővé téve a böngésző számára a fájl letöltését, majd ezt követően a fájl végrehajtását, ami számos negatív eredményt okozhat az adott webhely látogatójának, különösen az úgynevezett Drive-by Download Attack esetében.
4. X-Frame-Options
Az X-Frame-Options biztonsági fejléc segít megállítani a click-jacking támadásokat. A Mozilla a következőképpen írja le a Click-jackinget:
"...az a gyakorlat, amikor a felhasználót ráveszik, hogy olyan linkre, gombra stb. kattintson, amely nem az, aminek a felhasználó gondolja.
Ez felhasználható például bejelentkezési adatok ellopására vagy a felhasználó akaratlan engedélyének megszerzésére egy rosszindulatú szoftver telepítéséhez." Az X-Frame-Options fejléc úgy működik, hogy megakadályozza, hogy egy weboldal például egy iframe-en belül megjelenjen.
5. Referrer-policy
A Referrer-Policy fejléc célja, hogy a weboldal kiadója szabályozhassa, hogy milyen információkat küldjön, amikor a látogató egy másik weboldalra mutató linkre kattint. Amikor a webhely látogatója rákattint egy hivatkozásra, és egy másik webhelyre érkezik, a látogató böngészője információt szolgáltat arról, hogy melyik weboldal küldte a látogatást. Ha megnézi a szervernaplókat, akkor a hivatkozási információkat küldi, amelyekből kiderül, hogy mely webhelyek küldték a látogatókat. Vannak azonban olyan helyzetek, amikor a látogatót egy másik látogatóra utaló webhely URL-címe érzékeny információkat tartalmazhat, amelyek kiszivároghatnak egy harmadik fél számára.
A Referrer-policy úgy működik, hogy korlátozza, hogy mennyi információ kerül elküldésre, miután a webhely látogatója rákattint egy linkre.
6. Permissions-Policy
A Permissions-Policy fejléc lehetővé teszi, hogy egy weboldal meghatározza, hogy a webböngésző mely funkcióinak működését engedélyezze. Ez segíthet a felhasználó adatvédelmének javításában (pl.: a mikrofon letiltása), és a legjobb gyakorlatok érvényesítésére is használható (pl.: túlméretezett képek blokkolása).”)
