Kaj so HTTP varnostni headers?

Question

Accepted Answer

**HTTP varnostni headers** so response headers, ki naročijo brskalnikom, da uveljavljajo varnostno zaščito — pomagajo se braniti pred napadi kot so XSS, clickjacking in protocol downgrade. Predstavljajo enostaven in dragocen sloj obrambe za spletne aplikacije.

## Ključni varnostni headers

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Primer

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Zakaj so pomembni (obrana v globino)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Zakaj je to pomembno

Razumevanje HTTP varnostnih headerjev je dragoceno, ker zagotavljajo **enostaven in učinkovit sloj obrambe za spletne aplikacije**, zato je to koristno praktično znanje o varnosti.

Varnostni headeri naročijo brskalnikom, da uveljavljajo zaščito pred pogostimi napadi, in razumevanje ključnih je dragoceno. **Content-Security-Policy (CSP)** je najmočnejši — nadzoruje, katere vire in skripte se lahko naložijo in izvajajo, kar zagotavlja trdno obrambo pred XSS (celo blažitev, ko je output escaping premoten). **Strict-Transport-Security (HSTS)** vsili HTTPS, kar preprečuje downgrade in SSL-stripping napade. **X-Frame-Options** (ali CSP frame-ancestors) preprečuje **clickjacking** z blokiranjem vdelovanja strani v iframe. **X-Content-Type-Options: nosniff**, Referrer-Policy in Permissions-Policy zagotavljajo dodatno zaščito.

Razumevanje teh headerjev in kaj branijo je praktično znanje.

Razumevanje **zakaj so pomembni** je ključna vrednost: so **enostavni za dodajanje** (konfigurirani na strežniku/proxy) in vendar zagotavljajo pomembno zaščito za malo napora ter izvajajo **obrano v globino** (dodatni sloji — npr. CSP blažitev XSS celo, če to dopušča programska napaka).

Razumevanje pomembnega opozorila, da **headeri niso nadomestek za varno kodiranje** (vseeno morate odpraviti temeljne vzroke; CSP zahteva pregledno konfiguriranje), odraža uravnoteženo razumevanje — headeri dopolnjujejo, ne nadomeščajo varnostni razvoj.

Varnostni headeri so dragocen, enostaven izboljšava, ki jo številna spletna mesta podcenjuje, in orodja/skenerji jih pogosto preverjajo.

Ker varnostni headeri zagotavljajo enostavno, učinkovito obrano v globino za spletne aplikacije (zaščita pred XSS, clickjacking, downgrade napadi) za malo napora, in ker je razumevanje ključnih headerjev in njihove vrednosti koristno za izboljšanje varnosti spletne aplikacije, je razumevanje HTTP varnostnih headerjev dragoceno, praktično relevantno znanje o varnosti — enostaven, visoko dragocen sloj spletne obrambe (posebej CSP za XSS in X-Frame-Options za clickjacking), ki dopolnjuje varnostno kodiranje, koristno znanje za ojačitev spletnih aplikacij.