رفتن به محتوا

هدرهای امنیتی

nsin می‌تواند مجموعه‌ای کوچک از هدرهای امنیتی پاسخ را به ترافیک HTTPS سایت شما اضافه کند. این هدرها به‌صورت پیش‌فرض خاموش هستند و برای هر دامنه جداگانه تنظیم می‌شوند، بنابراین فقط هر چیزی را که می‌خواهید و هر زمان که آماده بودید روشن می‌کنید.

این‌ها با هدرهای پراکسی Nsn-* که به‌صورت خودکار اضافه می‌شوند فرق دارند: آن هدرها بازدیدکننده را مشخص می‌کنند و همیشه روی رکوردهای پراکسی‌شده حاضرند؛ اما هدرهای امنیتی این صفحه اختیاری هستند و روی نحوه‌ی برخورد مرورگر با پاسخ‌های شما اثر می‌گذارند.

۱. داشبورد nsin خود را باز کنید. ۲. به بخش تنظیمات (Settings) دامنه بروید. ۳. بخش هدرهای امنیتی (Security Headers) را پیدا کنید و گزینه‌های دلخواه را روشن کنید.

تغییرات ظرف چند ثانیه روی درخواست‌های جدید اعمال می‌شوند و هر گزینه را در هر زمان می‌توانید دوباره خاموش کنید.

گزینههدری که تنظیم می‌شودکاری که می‌کند
جلوگیری از حدس نوع محتواX-Content-Type-Options: nosniffبه مرورگر می‌گوید به‌جای حدس‌زدن، دقیقاً به Content-Type ارسالی مبدأ اعتماد کند؛ این کار جلوی دسته‌ای از حملات مبتنی بر اشتباه‌گرفتن نوع محتوا را می‌گیرد.
سیاست ارجاع‌دهندهReferrer-Policy: strict-origin-when-cross-originآدرس ارجاع‌دهنده‌ای که به سایت‌های دیگر فرستاده می‌شود را فقط به دامنه‌ی شما محدود می‌کند (بدون مسیر و پارامتر). همان پیش‌فرض مرورگرهای امروزی است.
حذف هدرهای شناساییحذف X-Powered-By، X-AspNet-Version، X-AspNetMvc-Version، X-Generator، X-Drupal-Cache، X-Runtimeهدرهایی که پشته و نسخه‌ی بک‌اند شما را لو می‌دهند حذف می‌کند. این‌ها فقط اطلاعاتی‌اند، پس حذفشان تقریباً برای همه‌ی سایت‌ها بی‌خطر است.
  • مبدأ شما همیشه اولویت دارد. برای nosniff و Referrer-Policy، nsin تنها زمانی هدر را اضافه می‌کند که مبدأ شما خودش آن را نفرستاده باشد — بنابراین سیاست سخت‌گیرانه‌تری که خودتان تنظیم کرده‌اید هرگز بازنویسی نمی‌شود.
  • فقط HTTPS. این هدرها فقط به پاسخ‌های امن اضافه می‌شوند؛ ریدایرکت http → https دست‌نخورده می‌ماند.
  • مستقل. هر گزینه جداست — یکی، دوتا یا هر سه را روشن کنید.

یک روش خوب برای روشن‌کردن: یک هدر را فعال کنید، سایت را در یک تب تازه‌ی مرورگر باز کنید و مطمئن شوید همه‌چیز درست کار می‌کند، سپس سراغ هدر بعدی بروید.

کاری که nsin این‌جا انجام نمی‌دهد

Section titled “کاری که nsin این‌جا انجام نمی‌دهد”

nsin برای شما یک Content-Security-Policy، سیاست CORS یا سیاست فریم نمی‌سازد — این‌ها تصمیم‌هایی هستند که فقط اپلیکیشن خودتان می‌تواند بگیرد و یک مقدار اشتباه سایت شما را خراب می‌کند. گزینه‌های بالا همان مجموعه‌ی امن و عمومی هستند. اگر به یک CSP یا سیاست CORS سفارشی نیاز دارید، آن را روی مبدأ خود تنظیم کنید و nsin آن را بدون تغییر عبور می‌دهد.

هم‌چنین هدرهای پراکسی را برای هدرهایی که nsin به‌صورت خودکار اضافه می‌کند ببینید.