Što su HTTP sigurnosni zaglavlja?

Question

Accepted Answer

**HTTP sigurnosna zaglavlja** su odgovorna zaglavlja koja instruiraju preglednike da primijene sigurnosne zaštite — pomagajući u obrani od napada poput XSS-a, clickjackinga i prisilnog downgrade-a protokola. Predstavljaju jednostavan i vrijedan sloj obrane za web aplikacije.

## Ključna sigurnosna zaglavlja

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Primjer

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Zašto su važna (obrana u dubini)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Zašto je to bitno

Razumijevanje HTTP sigurnosnih zaglavlja je vrijedno jer pružaju **jednostavan i učinkovit sloj obrane za web aplikacije**, što čini znanje praktično korisnim za sigurnost.

Sigurnosna zaglavlja instruiraju preglednike da primijene zaštitu od čestih napada, a razumijevanje ključnih je važno. **Content-Security-Policy (CSP)** je najmoćnije — kontrolira koje resurse i skripte mogu biti učitane i pokrenute, pružajući jaku obranu protiv XSS-a (čak i ublažavajući ga kada je propuštena zaštita izlaza). **Strict-Transport-Security (HSTS)** forsira HTTPS, sprječavajući downgrade i SSL-stripping napade. **X-Frame-Options** (ili CSP frame-ancestors) sprječava **clickjacking** blokiranjem ugrađivanja stranice u iframe-ove. **X-Content-Type-Options: nosniff**, Referrer-Policy i Permissions-Policy dodaju daljnju zaštitu.

Razumijevanje tih zaglavlja i što štite je praktično znanje.

Razumijevanje **zašto su važna** je ključna vrijednost: **lako se dodaju** (konfiguriraju se na serveru/proxy-ju) ali pružaju značajnu zaštitu uz mali napor, te primjenjuju **obranu u dubini** (dodatni slojevi — npr. CSP ublažava XSS čak i ako greška u kodu to dozvoli).

Razumijevanje važne napomene da **zaglavlja nisu zamjena za siguran kod** (morate i dalje ispraviti osnovne probleme; CSP zahtijeva pažljivu konfiguraciju) odražava uravnoteženo razumijevanje — zaglavlja nadopunjuju, ne zamjenjuju, siguran razvoj.

Sigurnosna zaglavlja su vrijedna, niskotrudna poboljšanja koja mnoga web mjesta nedovoljavaju, a alati/skenereri ih često provjeravaju.

Budući da sigurnosna zaglavlja pružaju jednostavnu, učinkovitu obranu u dubini za web aplikacije (štiteći od XSS-a, clickjackinga, napada downgrade-a) uz mali napor, a budući da je razumijevanje ključnih zaglavlja i njihove vrijednosti korisno za poboljšanje sigurnosti web aplikacija, razumijevanje HTTP sigurnosnih zaglavlja je vrijednostno, praktički relevantno znanje o sigurnosti — niskotrudan, visokoznadojedan sloj web obrane (posebno CSP za XSS i X-Frame-Options za clickjacking) koji nadopunjuje siguran kod, korisno znanje za ojačavanje web aplikacija.