Mik az HTTP biztonsági fejlécek?

Question

Accepted Answer

**A HTTP biztonsági fejlécek** válaszfejlécek, amelyek arra utasítják a böngészőket, hogy kényszerítsenek biztonságvédelmet — segítve a védekezést olyan támadások ellen, mint az XSS, clickjacking és protokoll-visszalépés. Egy egyszerű és értékes védelmi réteg a webalkalmazások számára.

## Főbb biztonsági fejlécek

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Példa

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Miért fontosak (védelem több rétegben)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Miért számít

A HTTP biztonsági fejlécek megértése értékes, mert **könnyen alkalmazható, hatékony védelmi réteget biztosítanak a webalkalmazások számára**, így praktikus biztonsági tudásként használható.

A biztonsági fejlécek arra utasítják a böngészőket, hogy kényszerítsenek védelmet a gyakori támadások ellen, és a főbb fejlécek ismerete értékes. A **Content-Security-Policy (CSP)** a legerősebb — szabályozza, hogy milyen erőforrások és szkriptek töltődhetnek be és futhatnak, erős védelmet nyújt az XSS ellen (még akkor is enyhíti azt, ha a kimeneti feldolgozás hiányzik). A **Strict-Transport-Security (HSTS)** kényteleníti a HTTPS-t, megakadályozva a protokoll-visszalépést és SSL-stripping támadásokat. Az **X-Frame-Options** (vagy CSP frame-ancestors) megakadályozza a **clickjacking**-et azáltal, hogy blokkolja az oldal beágyazását az iframes-ben. Az **X-Content-Type-Options: nosniff**, a Referrer-Policy és a Permissions-Policy további védelmet nyújtanak.

E fejlécek megértése és az, hogy mit védenek, a praktikus tudás.

Annak megértése, hogy **miért fontosak**, a kulcsfontosságú érték: **könnyen hozzáadhatók** (a szerver/proxy-n konfigurálva), mégis jelentős védelmet nyújtanak kevés erőfeszítésért, és **védelem több rétegben** valósul meg (extra rétegek — pl. a CSP az XSS-t enyhíti akkor is, ha egy kódolási hiba lehetővé teszi azt).

Annak megértése, hogy a fontos figyelmeztető szerint a **fejlécek nem helyettesítik a biztonságos kódolást** (továbbra is ki kell javítani az alapvető okokat; a CSP gondos konfigurációt igényel) kiegyensúlyozott megértést tükröz — a fejlécek kiegészítik, nem helyettesítik a biztonságos fejlesztést.

A biztonsági fejlécek értékes, alacsony erőfeszítésű fejlesztés, amelyet sok oldal alulhasznál, és az eszközök/szkennerek általában ellenőrzik őket.

Mivel a biztonsági fejlécek könnyen alkalmazható, hatékony védelem-több-rétegben nyújtanak a webalkalmazások számára (XSS, clickjacking, visszalépési támadások ellen védve) kevés erőfeszítésért, és mivel a fő fejlécek és értékük megértése hasznos a webalkalmazások biztonságának javításához, a HTTP biztonsági fejlécek megértése értékes, gyakorlatilag releváns biztonsági tudás — egy alacsony erőfeszítésű, magas értékű védelmi réteg a webbiztonságban (különösen a CSP az XSS-hez és az X-Frame-Options a clickjacking-hez), amely kiegészíti a biztonságos kódolást, hasznos tudás a webalkalmazások megerősítéséhez.