Co jsou HTTP bezpečnostní hlavičky?

Question

Accepted Answer

**HTTP bezpečnostní hlavičky** jsou hlavičky odpovědi, které instruují prohlížeče k vynucování bezpečnostní ochrany — pomáhají bránit útokům jako XSS, clickjacking a downgrade protokolu. Jsou to snadná a cenná vrstva obrany pro webové aplikace.

## Klíčové bezpečnostní hlavičky

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Příklad

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Proč jsou důležité (obrana do hloubky)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Proč to záleží

Rozumění HTTP bezpečnostním hlavičkám je cenné, protože poskytují **snadnou a účinnou vrstvu obrany pro webové aplikace**, takže je užitečné praktické bezpečnostní znalosti.

Bezpečnostní hlavičky instruují prohlížeče k vynucování ochrany proti běžným útokům a porozumění těm klíčovým je cenné. **Content-Security-Policy (CSP)** je nejsilnější — řídí, jaké zdroje a skripty se mohou načítat a spouštět, poskytuje silnou obranu proti XSS (dokonce ji zmírňuje, pokud je vynechán output escaping). **Strict-Transport-Security (HSTS)** vynucuje HTTPS, zabraňuje downgrade a SSL-stripping útokům. **X-Frame-Options** (nebo CSP frame-ancestors) zabraňuje **clickjackingu** blokováním vložení stránky do ifram. **X-Content-Type-Options: nosniff**, Referrer-Policy a Permissions-Policy přidávají další ochranu.

Rozumění těmto hlavičkám a tomu, proti čemu chrání, je praktické znalosti.

Rozumění **proč to záleží** je klíčová hodnota: jsou **snadné na přidání** (nakonfigurované na serveru/proxy) a přesto poskytují výraznou ochranu za malé úsilí, a implementují **obranu do hloubky** (další vrstvy — např. CSP zmírňující XSS i když programovací chyba ji umožní).

Rozumění důležitému upozornění, že **hlavičky nejsou náhradou za bezpečné kódování** (musíte stále opravit základní příčiny; CSP vyžaduje pečlivou konfiguraci), odráží vyvážené chápání — hlavičky se doplňují, ne nahrazují bezpečný vývoj.

Bezpečnostní hlavičky jsou cenná, málo náročná vylepšení, která mnoho webů nevyužívá, a nástroje/skenery je běžně kontrolují.

Protože bezpečnostní hlavičky poskytují snadnou, účinnou obranu do hloubky pro webové aplikace (chrání před XSS, clickjackingem, downgrade útoky) za malé úsilí, a protože porozumění klíčovým hlavičkám a jejich hodnotě je užitečné pro zlepšení bezpečnosti webových aplikací, je rozumění HTTP bezpečnostním hlavičkám cenné, prakticky relevantní bezpečnostní znalosti — málo náročná, vysokohodnotná vrstva webové obrany (zejména CSP pro XSS a X-Frame-Options pro clickjacking), která doplňuje bezpečné kódování, užitečné znalosti pro posílení bezpečnosti webových aplikací.