Что такое security headers
Security headers — это HTTP‑заголовки ответа, которые усиливают безопасность в браузере (CSP, HSTS, защита от clickjacking и утечек referrer). На этой странице показан макет отчёта с примерами рекомендаций.
Где это используется
Заголовки безопасности важны для любых публичных веб‑приложений: лендинги, личные кабинеты, админки, SPA, страницы оплаты. На практике они часто настраиваются не в коде, а на уровне CDN/прокси (Cloudflare, nginx, ingress), поэтому их легко “потерять” при миграциях и релизах.
Как обычно проверяют заголовки в проекте
- Smoke / security regression: один‑два ключевых URL и ассерт на наличие критичных заголовков.
- Сравнение сред: dev/stage/prod — частый источник расхождений.
- Инциденты: после изменений CDN/прокси быстро убеждаются, что CSP/HSTS не сломались.
Подробнее: что это за заголовки и как проверять в проекте
Определения: HSTS, CSP, XFO и другие
- HSTS (
Strict-Transport-Security) — принудительный HTTPS для браузера. - CSP (
Content-Security-Policy) — политика источников, один из главных барьеров против XSS. - XFO (
X-Frame-Options) /frame-ancestors— защита от clickjacking. - XCTO (
X-Content-Type-Options: nosniff) — защита от MIME sniffing. - Referrer-Policy — уменьшение утечек URL/параметров в
Referer. - Permissions-Policy — ограничение браузерных API.
Как это использовать в тестировании
- Security regression: заголовки не должны пропадать после релизов/настройки CDN.
- Среды: dev/stage/prod часто расходятся — удобно фиксировать ожидания.
- Реальная проверка: ассерты по headers в API‑тестах или E2E (Playwright).