Excerpt:<\/strong> Security headers su HTTP header-i koje server \u0161alje browseru kako bi definisao sigurnosna pravila za sajt ili aplikaciju. Oni ne zamenjuju bezbedan kod, dobru autentifikaciju ili server hardening, ali zna\u010dajno smanjuju rizik od \u010destih napada i pogre\u0161nog pona\u0161anja browsera.<\/p>\n\n\n\n Jedan od najva\u017enijih header-a je Security headers se \u010desto najbolje postavljaju na reverse proxy sloju. Caddy, Nginx ili Apache mogu centralno dodati iste header-e za vi\u0161e aplikacija, \u010dime se smanjuje potreba da svaka aplikacija posebno re\u0161ava osnovna sigurnosna pravila.<\/p>\n\n\n\n Kod WordPress i drugih CMS sistema treba biti oprezan sa prestrogim pravilima. Pluginovi, eksterni fontovi, analytics skripte, payment gateway-i i embed sadr\u017eaji \u010desto u\u010ditavaju resurse sa drugih domena. Zato security header-e treba testirati pre produkcione primene.<\/p>\n\n\n\n Dobar security header setup je balans izme\u0111u za\u0161tite i funkcionalnosti. Kada su HSTS, content type za\u0161tita, iframe pravila, referrer politika, permissions policy i eventualni CSP pravilno pode\u0161eni, sajt dobija dodatni sloj sigurnosti bez vidljivog uticaja na korisni\u010dko iskustvo.<\/p>\n","protected":false},"excerpt":{"rendered":" Security headers dodaju va\u017ean za\u0161titni sloj na nivou web servera ili reverse proxy-ja, kontroli\u0161u\u0107i pona\u0161anje browsera, u\u010ditavanje resursa, iframe prikaz, HTTPS pravila i dozvole za […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,8],"tags":[],"class_list":["post-171","post","type-post","status-publish","format-standard","hentry","category-infrastructure","category-reverse-proxy-ssl"],"yoast_head":"\n
Security headers dodaju va\u017ean za\u0161titni sloj na nivou web servera ili reverse proxy-ja, kontroli\u0161u\u0107i pona\u0161anje browsera, u\u010ditavanje resursa, iframe prikaz, HTTPS pravila i dozvole za osetljive funkcije.<\/p>\n\n\n\nSecurity Headers<\/h2>\n\n\n\n
Strict-Transport-Security<\/code>, poznat kao HSTS. On govori browseru da ubudu\u0107e koristi samo HTTPS vezu za odre\u0111eni domen. Kada je pravilno pode\u0161en, poma\u017ee da se izbegne slu\u010dajno vra\u0107anje korisnika na nebezbedan HTTP.<\/p>\n\n\n\nX-Content-Type-Options: nosniff<\/code> spre\u010dava browser da poga\u0111a tip fajla kada server po\u0161alje pogre\u0161an ili nejasan MIME type. To smanjuje rizik da browser izvr\u0161i sadr\u017eaj na na\u010din koji nije o\u010dekivan, naro\u010dito kod skripti i upload fajlova.<\/p>\n\n\n\nX-Frame-Options<\/code> ili modernija Content-Security-Policy<\/code> frame pravila kontroli\u0161u da li se stranica sme prikazivati unutar iframe-a. Ovo je va\u017eno za za\u0161titu od clickjacking napada, gde se korisniku prikazuje la\u017eni ili preklopljen interfejs.<\/p>\n\n\n\nContent-Security-Policy<\/code> je najmo\u0107niji, ali i najosetljiviji security header. On defini\u0161e odakle sajt sme da u\u010ditava skripte, stilove, slike, fontove, iframe-ove i druge resurse. Dobar CSP mo\u017ee zna\u010dajno smanjiti rizik od XSS napada, ali lo\u0161e pode\u0161en CSP mo\u017ee polomiti funkcionalnost sajta.<\/p>\n\n\n\nReferrer-Policy<\/code> kontroli\u0161e koliko informacija browser \u0161alje kada korisnik klikne link ka drugom sajtu. Time se mo\u017ee smanjiti nepotrebno otkrivanje punih URL-ova, parametara i internih putanja spoljnim servisima.<\/p>\n\n\n\nPermissions-Policy<\/code> ograni\u010dava pristup funkcijama kao \u0161to su kamera, mikrofon, geolokacija, payment API i sli\u010dne browser mogu\u0107nosti. Ako sajt ne koristi te funkcije, bolje je eksplicitno ih isklju\u010diti nego ostaviti browseru otvorenu mogu\u0107nost.<\/p>\n\n\n\n