Güvenlik Başlıkları Nedir?
İngilizce: Security Headers (HTTP)
Güvenlik başlıkları, tarayıcıya sayfanın nasıl yüklenip korunacağını söyleyen HTTP yanıt kurallarıdır; XSS ve clickjacking riskini azaltır.
Güvenlik Başlıkları Nedir?
Güvenlik başlıkları, web sunucusunun tarayıcıya gönderdiği HTTP response header değerleridir. Tarayıcı bu başlıklara bakarak sayfanın hangi kaynakları yükleyebileceğini, başka siteler içinde iframe olarak açılıp açılamayacağını veya yalnızca HTTPS üzerinden çalışıp çalışmayacağını belirler.
Bu başlıklar uygulama kodundaki açığı tek başına kapatmaz; ancak tarayıcı tarafında ek savunma katmanı oluşturur. Özellikle kullanıcı oturumu, ödeme ekranı, yönetim paneli ve form içeren sayfalarda yanlış veya eksik başlıklar saldırı yüzeyini büyütür.
Sık Kullanılan Başlıklar
- Content-Security-Policy: Script, stil, görsel ve bağlantı kaynaklarını sınırlar.
- Strict-Transport-Security: Tarayıcıyı siteye yalnızca HTTPS ile bağlanmaya zorlar.
- X-Frame-Options veya frame-ancestors: Clickjacking riskine karşı gömülmeyi sınırlar.
- X-Content-Type-Options: Tarayıcının MIME sniffing yapmasını engeller.
- Referrer-Policy: Başka sitelere hangi referrer bilgisinin gideceğini kontrol eder.
- Permissions-Policy: Kamera, mikrofon, konum gibi tarayıcı yetkilerini sınırlar.
İş Dünyasında Kullanımı
Güvenlik başlıkları genellikle CDN, reverse proxy, web sunucusu veya uygulama framework’ü seviyesinde ayarlanır. Bir e-ticaret sitesinde ödeme sayfası için daha sıkı CSP kuralı gerekebilirken, pazarlama sayfalarında üçüncü parti analiz ve reklam scriptleri nedeniyle daha dikkatli istisnalar tanımlanır.
İyi yapılandırma raporlama moduyla test edilir, gerçek kullanıcı hataları izlenir ve gereksiz izinler kaldırılır. Amaç, XSS gibi saldırıların etkisini azaltmak ve tarayıcının güvenlik özelliklerini uygulamanın parçası haline getirmektir.
İlgili Terimler
Clickjacking, kullanıcıyı görünmez veya yanıltıcı katmanlarla kandırıp farkında olmadan tıklama yaptıran arayüz saldırısıdır.
CSPCSP, tarayıcıya hangi script, stil, görsel ve bağlantı kaynaklarının izinli olduğunu söyleyen, XSS etkisini sınırlayan politikadır.
XSSXSS, güvenilmeyen içeriğin tarayıcıda script olarak çalışmasıyla oturum çalma, sahte işlem ve veri sızıntısı riski yaratır.