HTTP Güvenlik Başlıkları (Security Headers) nedir?

HTTP güvenlik başlıkları, sunucunuzun tarayıcıya (Chrome, Safari vb.) nasıl davranması gerektiği konusunda talimatlar verdiği güvenlik kalkanlarıdır. Tarayıcının güvenliği sağlamasına yardımcı olur.

HSTS (Strict-Transport-Security) nedir?

HSTS, tarayıcıya sitenize her zaman güvenli (HTTPS) bağlantı üzerinden erişmesini söyler. Bu sayede saldırganların trafiği güvensiz HTTP'ye düşürerek (Downgrade attack) veri çalmasını engeller.

CSP (Content-Security-Policy) neden önemlidir?

CSP, sitenizde sadece güvendiğiniz kaynaklardan (domainlerden) gelen script ve resimlerin çalıştırılmasına izin verir. Modern web güvenliğinin temelidir ve XSS (Cross-Site Scripting) saldırılarını büyük ölçüde durdurur.

HTTP Security Header Checker | Güvenlik Başlıkları Analizi

HTTP Security Headers Nedir?

HTTP Güvenlik Başlıkları (Security Headers), web sunucunuzun ziyaretçinin tarayıcısına (Chrome, Firefox vb.) site ile nasıl iletişim kurması gerektiğini ve hangi güvenlik politikalarını uygulayacağını anlattığı kurallar bütünüdür.

Neden Eklenmelidir? (Siber Güvenlik)

Güvenlik başlıkları eksik olan web siteleri, siber saldırganların hedefi olmaya daha müsaittir. Birkaç satırlık kod ile sitenizi aşağıdaki yaygın saldırılara karşı koruyabilirsiniz:

XSS (Cross-Site Scripting): CSP başlığı sayesinde zararlı javascript kodlarının sitenizde çalışması engellenir.
Clickjacking: X-Frame-Options sayesinde sitenizin başka bir dolandırıcı sitede gizli bir çerçeve (iframe) içinde açılıp tıklama çalınması engellenir.
Downgrade & MITM: HSTS başlığı ile bağlantının her zaman şifreli (HTTPS) kalması zorunlu hale getirilir.

Apache ve Nginx İçin Nasıl Eklenir?

Bu başlıkları sunucunuza eklemek oldukça basittir.

Apache (.htaccess)

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  Header always set X-Frame-Options "SAMEORIGIN"
  Header always set X-Content-Type-Options "nosniff"
  Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

Nginx (nginx.conf)

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Sıkça Sorulan Sorular

Hayır. HTTP güvenlik başlıkları siber güvenliğin sadece "ön yüz (frontend)" ve tarayıcı taraflı katmanını korur. Sitenizdeki SQL Injection açıkları, zayıf şifreler veya sunucu zafiyetleri gibi arka plan sorunları için ek güvenlik testleri (Penetrasyon testi) yaptırmanız gereklidir.

CSP çok katı bir güvenlik kalkanıdır. Eğer kuralları çok sıkı yazarsanız, sitenizde bulunan Google Analytics, Facebook Pixel, YouTube videoları veya harici CSS/JS dosyalarının çalışmasını engeller. CSP eklerken "Report-Only" moduyla başlayıp hataları konsoldan izlemeniz önerilir.

HTTP Security Header Checker

Hedef:

IPTOOL HTTP Güvenlik Başlıkları Raporu

Başlık Analiz Detayları

Ham Yanıt (Raw HTTP Headers)

HTTP Security Headers Nedir?

Neden Eklenmelidir? (Siber Güvenlik)

Apache ve Nginx İçin Nasıl Eklenir?

Apache (.htaccess)

Nginx (nginx.conf)

Sıkça Sorulan Sorular

HTTP Security Header Checker

Hedef:

IPTOOL HTTP Güvenlik Başlıkları Raporu

Başlık Analiz Detayları

Ham Yanıt (Raw HTTP Headers)

Neden Eklenmelidir? (Siber Güvenlik)

Apache ve Nginx İçin Nasıl Eklenir?

Apache (.htaccess)

Nginx (nginx.conf)

Sıkça Sorulan Sorular

Sitem A (Mükemmel) not aldı, artık hacklenemez miyim?

CSP (Content-Security-Policy) ekledikten sonra sitem bozuldu! Neden?