Shortmox Tools · rehber
HTTP güvenlik başlıkları tarayıcıya sayfayı nasıl yükleme, başka sitelere gömme veya içerik türü sniffing gibi konularda ipucu verir. Doğru yapılandırma kullanıcıları ve operatörleri birçok sınıf saldırıya karşı zorlaştırır; ancak başlık listesi tek başına uygulama güvenliği veya kod kalitesinin yerine geçmez. Shortmox Security Headers Checker herkese açık HTTPS URL için yanıt başlıklarını özetler — denetim raporu veya sertifika değildir.
Bu metinler hukuki veya güvenlik garantisi vermez; ürün davranışı sürüme bağlıdır. Ticari SLA veya uyumluluk sonucu taahhüdü için iletişim.
HSTS, destekleyen tarayıcıların HTTP üzerinden tekrar açılmasını azaltarak downgrade riskini düşürmeye yardımcı olur. preload listeleri agresif bir taahhüttür; geri dönüş maliyeti yüksek olabilir — üretim öncesi tüm alt alan adlarınızı ve sertifika yenileme süreçlerinizi gözden geçirin.
CSP, hangi kaynaklardan script, stil, görsel ve bağlantı yüklenebileceğini kısıtlar. İlk kurulumda report-only ile ihlal raporlarını toplayıp sonra enforce’a geçmek kırılmayı azaltır. Üçüncü taraf etiket yöneticileri veya eski inline script’ler sık ihlal kaynağıdır.
Tıklama çalma ve UI redressing riskini azaltmak için sayfanın iframe’e gömülmesini sınırlar. Modern CSP’de frame-ancestors tercih edilir; eski tarayıcılar için X-Frame-Options hâlâ görülebilir. OAuth ve gömülü ödeme akışlarında istisnalar dikkatle listelenmelidir.
İçerik türü tahminini (MIME sniffing) kapatmaya yardımcıdır; özellikle indirme ve kullanıcı yüklemesi olan uçlarda faydalıdır. Yanlış Content-Type atanmış statik dosyalarla çakışabilir — dağıtım testinde doğrulayın.
Referrer-Policy, hangi bağlamda referrer başlığının kısaltılacağını belirler; analitik ve güvenlik arasında denge ister. Permissions-Policy (eski Feature-Policy) kamera, mikrofon veya sensör API’lerini sayfa bazında kapatmaya yardımcı olur — yanlış kısıt ürün özelliklerini kırabilir.
Bu başlıklar uygulama mantığının yerine geçmez; yalnızca tarayıcıya ek kısıtlar önerir. Eksik veya çok gevşek değerler risk tablosunda not edilmelidir.
Üretim ve staging köklerini ayrı ayrı tarayın; CDN katmanı başlıkları ekleyebilir veya silebilir. Security Headers Checker özel IP ve SSRF riskli hedeflere karşı filtreli çalışır; sonuçlar bilgilendiricidir, penetrasyon testi değildir.
Sık sorulanlar
Hayır — risk bağlamına bağlıdır; başlıklar saldırı yüzeyini azaltmaya yardımcı olur, sıfır risk anlamına gelmez.
Report-only ihlalleri raporlar ve genelde bloklamaz; enforce aktif kısıtlamadır. Yanlış CSP üretimde kırılmalara yol açabilir — aşamalı geçiş önerilir.
Hayır — denetim veya sözleşme gereksinimleri ayrı değerlendirilir.
Sunucu tarafı sorgu sınırları ve SSRF önlemleri vardır; zincirin her adımında beklediğiniz başlıkların taşınması için CDN ve origin yapılandırmanızı birlikte inceleyin.