Kas yra HTTP saugumo antraštės?

Question

Accepted Answer

**HTTP saugumo antraštės** yra atsako antraštės, kurios nurodo naršyklėms taikyti saugumo apsaugą — padedant gintis nuo atakų, tokių kaip XSS, clickjacking ir protokolo pazemimas. Jos yra paprasta, vertinga interneto programų gynybos sluoksnio dalis.

## Pagrindinės saugumo antraštės

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Pavyzdys

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Kodėl jos yra svarbios (gynybos gelmės)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Kodėl tai svarbu

Suprasti HTTP saugumo antraštės yra vertinga, nes jos suteikia **paprastą, veiksmingą interneto programų gynybos sluoksnį**, todėl tai yra naudinga praktinė saugumo žinojimas.

Saugumo antraštės nurodo naršyklėms taikyti apsaugą nuo dažniausiai pasitaikančių atakų, o šiųjų pagrindinių žinojimas yra vertingas. **Content-Security-Policy (CSP)** yra galingiausias — jis kontroliuoja, kokios ištekliai ir scenarijumi gali būti įkelti ir vykdyti, suteikiant stiprią apsaugą nuo XSS (net sumažinant riziką, kai išvestis nėra korektiški sukoduota). **Strict-Transport-Security (HSTS)** priverstas naudoti HTTPS, prevencingas pazemimo ir SSL-stripping atakų. **X-Frame-Options** (arba CSP frame-ancestors) nuo **clickjacking** blokuodamas puslapį iš įterpimo į iframe. **X-Content-Type-Options: nosniff**, Referrer-Policy ir Permissions-Policy suteikia tolesnę apsaugą.

Suprasti šias antraštes ir jų apsaugomą sritį yra praktinis žinojimas.

Suprasti **kodėl tai svarbu** yra pagrindinė vertė: jos yra **lengva pridėti** (sukonfigūruota serveryje/proxy), bet suteikia reikšmingą apsaugą mažiems pastangoms, ir jos įgyvendina **gynybos gelmę** (papildomus sluoksnius — pvz., CSP sumažinantis XSS net jei kodavimo klaida tai leidžia).

Suprasti svarbų įspėjimą, kad **antraštės nėra saugaus kodavimo pakaitalas** (vis tiek turite ištaisyti šaknis; CSP reikia atidžiai konfigūruoti), atspindi subalansuotą supratimą — antraštės papildo, o ne pakeičia, saugų plėtrą.

Saugumo antraštės yra vertinga, žema pastanga pagerinanti parinktis, kurią daugelis svetainių naudoja nepakankamai, ir įrankiai/skaitytuvai joms dažnai tikrina.

Kadangi saugumo antraštės suteikia paprastą, veiksmingą gynybos gelmę interneto programoms (apsaugant nuo XSS, clickjacking, pazemimo atakų) už mažą pastangą, ir kadangi supratimas pagrindinių antraščių ir jų vertės yra naudingas interneto programų saugumo pagerinimui, HTTP saugumo antraščių supratimas yra vertinga, praktiškai aktuali saugumo žinojimas — žema pastanga, aukštos vertės interneto gynybos sluoksnis (ypač CSP nuo XSS ir X-Frame-Options nuo clickjacking), papildantis saugų kodavimą, naudingas žinojimas interneto programų tvirtinimui.