Ce sunt antetele de securitate HTTP?

Question

Accepted Answer

**Antetele de securitate HTTP** sunt antetele de răspuns care instruiesc browserele să aplice protecții de securitate — ajutând la apărarea împotriva atacurilor precum XSS, clickjacking și downgrade-ul protocolului. Sunt un strat ușor și valoros de apărare pentru aplicațiile web.

## Antetele de securitate cheie

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Exemplu

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## De ce sunt importante (apărare în profunzime)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## De ce are importanță

Înțelegerea antetelor de securitate HTTP este valoroasă deoarece furnizează **un strat ușor și eficient de apărare pentru aplicațiile web**, deci este cunoștințe practice utile de securitate.

Antetele de securitate instruiesc browserele să aplice protecții împotriva atacurilor comune, iar înțelegerea celor principale este valoroasă. **Content-Security-Policy (CSP)** este cea mai puternică — controlează ce resurse și scripturi pot fi încărcate și executate, oferind o apărare puternică împotriva XSS (chiar atenuând-o atunci când ignorarea output-ului este ratat). **Strict-Transport-Security (HSTS)** forțează HTTPS, prevenind downgrade-ul și atacurile SSL-stripping. **X-Frame-Options** (sau CSP frame-ancestors) previne **clickjacking-ul** blocând încorporarea paginii în iframe-uri. **X-Content-Type-Options: nosniff**, Referrer-Policy și Permissions-Policy adaugă protecții suplimentare.

Înțelegerea acestor antetele și a ceea ce protejează este cunoștințele practice.

Înțelegerea **de ce au importanță** este valoarea cheie: sunt **ușor de adăugat** (configurate pe server/proxy) dar oferă protecție semnificativă cu efort minim, și implementează **apărare în profunzime** (straturi suplimentare — de exemplu CSP atenuând XSS chiar dacă o eroare de codare o permite).

Înțelegerea cavei importante că **antetele nu sunt înlocuitoare pentru codarea sigură** (trebuie să remediați totuși cauzele principale; CSP necesită configurare atentă) reflectă o înțelegere echilibrată — antetele completează, dar nu înlocuiesc, dezvoltarea sigură.

Antetele de securitate sunt o îmbunătățire valoroasă și cu efort minim pe care multe site-uri o subestimează, și instrumentele/scanerul-urile le verifică în mod obișnuit.

Deoarece antetele de securitate furnizează apărare ușoară și eficientă în profunzime pentru aplicații web (protejând împotriva XSS, clickjacking, atacuri de downgrade) cu efort minim, și deoarece înțelegerea antetelor cheie și a valorii lor este utilă pentru îmbunătățirea securității aplicației web, înțelegerea antetelor de securitate HTTP este cunoștințe practice valoroase și relevante de securitate — un strat ușor, cu valoare ridicată de apărare web (în special CSP pentru XSS și X-Frame-Options pentru clickjacking) care completează codarea sigură, cunoștințe utile pentru întărirea aplicațiilor web.