Buradasın
HTTP Security Header'ları ve Kullanımı
mehmetince.net/http-security-headerlari-neden-ve-nasil-kullanilmalidir/Yapay zekadan makale özeti
- Temel Güvenlik Header'ları
- HSTS, tarayıcıları HTTPS kullanmaya zorlayarak downgrade saldırılarına karşı koruma sağlar
- X-Frame-Options, iframe çağrılarını kontrol ederek clickjacking'i önler
- X-XSS-Protection, XSS saldırılarını engellemek için kullanılır
- X-Content-Type-Options, MIME Type sniffing'i (içerik tipi analizi) engeller
- Cookie Güvenliği
- HttpOnly bayrağı, oturum anahtarlarını sadece HTTP taleplerinde kullanır
- Secure bayrağı, oturum anahtarlarını sadece HTTPS taleplerinde ekler
- HTTPS üzerinden yapılan oturumlarda Secure bayrağı kullanılmalıdır
- Uygulama Önerileri
- HSTS konfigürasyonu web sunucu uygulamalarında yapılmalıdır
- Cloudflare kullanıcıları HSTS özelliklerini web arayüzü üzerinden aktif edebilir
- Cookie'ler hem Secure hem HttpOnly bayraklarıyla işaretlenmelidir