امنیت همیشه یک امر نسبی هست اما شما به عنوان وبمستر همیشه باید محکم کاری های امنیتی رو انجام بدید. برای بهبود امنیت سایت تنظیمات و راه های بسیار زیادی وجود داره که بسته به نوع سرور و تکنولوژی های استفاده شده در وبسایت شما متفاوت هست و نمیشه اون رو حتی در چند مقاله آورد. اینجا من قصد دارم فقط به چند header اشاره کنم که کمتر معرفی شدن.

افزایش امنیت سایت با htaccess.

1- X-XSS-Protection

برای جلوگیری از حملات XSS این header رو اضافه میکنیم که باعث میشه وقتی مرورگر متوجه وجود این حمله در صفحه بشه، از نمایش اون قسمت جلوگیری کنه.

# X-XSS-Protection
<IfModule mod_headers.c>
 Header set X-XSS-Protection "1; mode=block"
</IfModule>

فقط کافیه این کد رو در سرورهای آپاچی داخل فایل htaccess. قرار بدید.

2- X-Frame-Options

با استفاده از این header ما اجازه فریم کردن صفحه رو در جای دیگه نمیدیم. به عبارت دیگه، این header باعث میشه صفحه شما داخل تگهای frame - iframe - object غیر قابل بارگذاری در سایت های دیگه بشه.

# X-Frame-Options
<IfModule mod_headers.c>
 Header always append X-Frame-Options SAMEORIGIN
</IfModule>

3-Content Security Policy (CSP)

CSP یکی از مهمترین header ها برای جلوگیری از حملات هست (+ مزایای دیگه). با استفاده از این header شما میتونید تعیین کنید که محتواهایی که در سایت وجود دارن از چه منابعی حق بازگذاری شدن رو دارن. مثلا میتونید تعریف کنید که عکس های موجود در صفحه شما فقط میتونن از سایت خودتون + imgur.com بارگذاری بشه یا اسکریپت ها فقط از سایت خودتون + google حق دارند بارگذاری بشن. عالیه نه؟  

مثال:

<IfModule mod_headers.c>
 Header set Content-Security-Policy "default-src 'self'; font-src 'self' *.gstatic.com; img-src *"
</IfModule>

تو این مثال ما تعیین کردیم که

  1. فونت های ما میتونن از سایت خود ما + گوگل بارگذاری بشن
  2. تصاویر میتونن از هر جایی بارگذاری بشن
  3. در موارد تعیین نشده (مثل script-src, style-src, media-src و...) فقط میتونن از سایت ما بارگذاری بشن چون default-src رو روی 'self' تنظیم کردیم.

مشاهده تمامی ویژگی ها ابراز مفید برای ساخت CSP

4-X-Content-Type-Options

با استفاده از این header شما از Content-sniffing جلوگیری میکنید. با این کار شما فقط اجازه میدید که تگهای scriptو style با MIME type های قابل قبول اجرا بشن و در غیر اینصورت بلاک میشن.

# X-Content-Type nosniff
<IfModule mod_headers.c>
 Header set X-Content-Type-Options nosniff
</IfModule>

5-HTTP Strict Transport Security

HSTS این امکان رو به ما میده که فقط اجازه دسترسی به وبسایت رو از طریق اتصال امن براقرار کنیم و تنها زمانی باید اینکارو بکنیم که برای وبسایت گواهی نامه متعبر SSL خریداری کرده باشیم.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
</IfModule>
آخرین ویرایش: 18-12-2017 ساعت 14:32، توسط Reza