هدرهای امنیتی
nsin میتواند مجموعهای کوچک از هدرهای امنیتی پاسخ را به ترافیک HTTPS سایت شما اضافه کند. این هدرها بهصورت پیشفرض خاموش هستند و برای هر دامنه جداگانه تنظیم میشوند، بنابراین فقط هر چیزی را که میخواهید و هر زمان که آماده بودید روشن میکنید.
اینها با هدرهای پراکسی Nsn-* که بهصورت خودکار اضافه
میشوند فرق دارند: آن هدرها بازدیدکننده را مشخص میکنند و همیشه روی رکوردهای
پراکسیشده حاضرند؛ اما هدرهای امنیتی این صفحه اختیاری هستند و روی نحوهی
برخورد مرورگر با پاسخهای شما اثر میگذارند.
کجا تنظیم کنیم
Section titled “کجا تنظیم کنیم”۱. داشبورد nsin خود را باز کنید. ۲. به بخش تنظیمات (Settings) دامنه بروید. ۳. بخش هدرهای امنیتی (Security Headers) را پیدا کنید و گزینههای دلخواه را روشن کنید.
تغییرات ظرف چند ثانیه روی درخواستهای جدید اعمال میشوند و هر گزینه را در هر زمان میتوانید دوباره خاموش کنید.
هدرهای در دسترس
Section titled “هدرهای در دسترس”| گزینه | هدری که تنظیم میشود | کاری که میکند |
|---|---|---|
| جلوگیری از حدس نوع محتوا | X-Content-Type-Options: nosniff | به مرورگر میگوید بهجای حدسزدن، دقیقاً به Content-Type ارسالی مبدأ اعتماد کند؛ این کار جلوی دستهای از حملات مبتنی بر اشتباهگرفتن نوع محتوا را میگیرد. |
| سیاست ارجاعدهنده | Referrer-Policy: strict-origin-when-cross-origin | آدرس ارجاعدهندهای که به سایتهای دیگر فرستاده میشود را فقط به دامنهی شما محدود میکند (بدون مسیر و پارامتر). همان پیشفرض مرورگرهای امروزی است. |
| حذف هدرهای شناسایی | حذف X-Powered-By، X-AspNet-Version، X-AspNetMvc-Version، X-Generator، X-Drupal-Cache، X-Runtime | هدرهایی که پشته و نسخهی بکاند شما را لو میدهند حذف میکند. اینها فقط اطلاعاتیاند، پس حذفشان تقریباً برای همهی سایتها بیخطر است. |
نحوهی رفتار
Section titled “نحوهی رفتار”- مبدأ شما همیشه اولویت دارد. برای
nosniffوReferrer-Policy، nsin تنها زمانی هدر را اضافه میکند که مبدأ شما خودش آن را نفرستاده باشد — بنابراین سیاست سختگیرانهتری که خودتان تنظیم کردهاید هرگز بازنویسی نمیشود. - فقط HTTPS. این هدرها فقط به پاسخهای امن اضافه میشوند؛ ریدایرکت
http → httpsدستنخورده میماند. - مستقل. هر گزینه جداست — یکی، دوتا یا هر سه را روشن کنید.
پیش از روشنکردن
Section titled “پیش از روشنکردن”یک روش خوب برای روشنکردن: یک هدر را فعال کنید، سایت را در یک تب تازهی مرورگر باز کنید و مطمئن شوید همهچیز درست کار میکند، سپس سراغ هدر بعدی بروید.
کاری که nsin اینجا انجام نمیدهد
Section titled “کاری که nsin اینجا انجام نمیدهد”nsin برای شما یک Content-Security-Policy، سیاست CORS یا سیاست فریم نمیسازد — اینها تصمیمهایی هستند که فقط اپلیکیشن خودتان میتواند بگیرد و یک مقدار اشتباه سایت شما را خراب میکند. گزینههای بالا همان مجموعهی امن و عمومی هستند. اگر به یک CSP یا سیاست CORS سفارشی نیاز دارید، آن را روی مبدأ خود تنظیم کنید و nsin آن را بدون تغییر عبور میدهد.
همچنین هدرهای پراکسی را برای هدرهایی که nsin بهصورت خودکار اضافه میکند ببینید.