Security Headers là một trong những yếu tố dễ bị bỏ qua nhất trong kiểm toán trang web
Một số quan điểm cho rằng, việc bảo mật thông tin website không phải là yếu tố tương quan đến SEO, thế nhưng, nó thực sự trở thành một mối quan ngại khi một website bị hacker tiến công và lưu lượng truy vấn giảm dần về 0 .
Vì vậy nên, Security Header phải là mối quan tâm hàng đầu với bất kỳ ai đăng tải nội dung lên Internet.
Dù rất quan trọng trong việc giữ bảo đảm an toàn cho website của bạn và những người truy vấn, thế nhưng Security headers lại khá đơn thuần trong việc thiết lập và thông số kỹ thuật .
Vậy, Security Headers là gì? Cùng TopOnSeek tìm hiểu cách thức hoạt động, lý do tại sao Security header lại cực kỳ quan trọng trong SEO và 5 HTTP Security Headers cho SEO mà bạn cần phải biết.
Tóm Tắt
Security Headers là gì?
Security headers là những thông tư mà trình duyệt buộc phải tuân theo trải qua HTTP Response. Một HTTP header là một phản hồi của sever so với một trình duyệt đang cố truy vấn vào website. Hiểu một cách đơn thuần, HTTP Security headers là một phần cơ bản của bảo mật thông tin website, đưa ra những thông tư bảo mật thông tin giúp chống lại những cuộc tiến công mà website có rủi ro tiềm ẩn cao gặp phải .
Ví dụ, bạn hoàn toàn có thể tải font chữ từ Google về, nhưng không nên an toàn và đáng tin cậy bất kỳ dữ liệu nào khác bên ngoài miền của website .
Ở ví dụ trên, thông tư bảo mật thông tin chính là phần đã thông tin cho trình duyệt rằng hoàn toàn có thể tải font chữ từ Google về, nhưng không nên tin yêu bất kể tài liệu nào khác bên ngoài miền trang web cả .
Một thông tư bảo mật thông tin như vậy sẽ giúp chặn trình duyệt tải xuống những tệp ô nhiễm từ những website khác .
Tại sao phải sử dụng Security headers?
Với Security headers, ứng dụng bot tự động hóa sẽ liên tục kiểm tra và thăm dò những website để tìm kiếm những điểm yếu về bảo mật thông tin .
Những lỗ hổng này hoàn toàn có thể được tạo ra bởi mạng lưới hệ thống quản trị nội dung, thư viện JavaScript sử dụng để thêm tính năng, hoặc những điểm yếu bảo mật thông tin tạo ra bởi những thiết bị cắm vào .
Các website sử dụng Security headers sẽ bảo đảm an toàn hơn rất nhiều trước những mối rình rập đe dọa bảo mật thông tin này .
Dù những website hoàn toàn có thể không sử dụng Security headers mà thay vào đó là update liên tục và sử dụng những plugins bảo mật thông tin. Tuy nhiên, cách này sẽ khiến cho chính website và người truy vấn trang gặp những rủi ro đáng tiếc bảo mật thông tin không đáng có .
Ví dụ, security plugin không hề chặn quảng cáo rác cướp đi lệch giá quảng cáo của chủ sở hữu trang web .
Có lẽ, nguyên do tốt nhất để sử dụng Security headers là vì chúng tương đối dễ thực thi và bảo vệ rằng website liên tục chạy thông thường .
Xem thêm : Nghiên cứu thị trường là gì ? Top 7 chiêu thức điều tra và nghiên cứu phổ cập
Top 5 Security headers
1. Content-Security-Policy (CSP)
Một CSP giúp bảo vệ trang web và người truy vấn website khỏi những cuộc tiến công Cross Site Scripting ( XSS ) và những cuộc tiến công tài liệu ô nhiễm .
Cross-Site Scripting (XSS)
Cross-Site Scripting xảy ra khi tin tặc tận dụng những lỗ hổng bảo mật thông tin tải những tệp ô nhiễm lên trang web, sau đó những tệp ô nhiễm này được tải xuống trình duyệt của nạn nhân
Các cuộc tiến công XSS tận dụng những lỗ hổng trong mạng lưới hệ thống quản trị nội dung, được cho phép đưa những tài liệu không mong ước vào do không đủ năng lực quét và làm sạch tệp nguồn vào của người dùng .
Ví dụ, thường thì, một biểu mẫu email phải được mã hóa để mong đợi một tài liệu nguồn vào bị hạn chế .
Một website được mã hóa kém hoàn toàn có thể được cho phép một số ít tài liệu nguồn vào khác, sau đó hoàn toàn có thể dẫn đến việc đưa vào những tệp ô nhiễm .
Một cuộc tiến công XSS thường được dùng để đánh cắp mật khẩu hoặc là một phần của cuộc tiến công mạng lớn sau đó .
Tấn công dữ liệu độc hại
The Open Web Application Security Project ( OWASP ) miêu tả, tiến công tài liệu ô nhiễm là một rủi ro đáng tiếc bảo mật thông tin nghiêm trọng .
Bản thân CSP không hề bảo vệ 100 % những website khỏi những cuộc tiến công mạng nhưng nó giúp giảm tối thiểu năng lực xảy ra những cuộc tiến công XSS .
Một CSP header hoàn toàn có thể đưa ra hướng dẫn cho trình duyệt chỉ tải tệp xuống từ một nhóm miền đã đặt sẵn và chỉ từ những miền đó mà thôi .
Bất kỳ kẻ tiến công nào đang tải xuống những tập lệnh ô nhiễm từ một sever khác bên ngoài nhóm đáng an toàn và đáng tin cậy đó sẽ bị chặn .
Việc tạo chủ trương bảo mật thông tin nội dung hoàn toàn có thể khắt khe hoặc linh động như nhà phát hành nhu yếu .
2. Strict-Transport-Security Header (HSTS)
Strict-Transport-Security Header còn được biết đến với tên HTTP Strict Transport Security header ( HSTS ) .
Nhiều websites lúc bấy giờ chỉ có chuyển hướng từ 301 từ HTTP sang HTTPS .
Thế nhưng, như thế là không đủ cho sự bảo đảm an toàn của website vì website vẫn dễ bị tiến công trung gian .
HSTS giúp ngăn chăn kẻ tiến công thực thi liên kết HTTPS sang liên kết HTTP từ đó được cho phép kẻ tiến công tận dụng những chuyển hướng không bảo đảm an toàn .
Ví dụ : nếu một người nhập example.com để truy vấn một website mà không nhập vào phần https ( hoặc họ chỉ gõ http theo thói quen ), thì thời cơ cho một cuộc tiến công trung gian là trọn vẹn hoàn toàn có thể .
Kiểu tiến công này hoàn toàn có thể gây hại đến người truy vấn website. Bất cứ thông tin nhạy cảm nào được trao đổi giữa người truy vấn website và website thì cũng có rủi ro tiềm ẩn hiển thị với kẻ tiến công .
Ví dụ, kẻ tiến công hoàn toàn có thể chặn những cookies có chứa thông tin nhạy cảm như thể thông tin đăng nhập .
nhà nước Hoa Kỳ đã liệt kê 3 trường hợp HTTPS hoàn toàn có thể bị hạ cấp xuống HTTP, từ đó được cho phép kẻ tiến công xâm phạm bảo mật thông tin :
- Khi người dùng nhập “gsa.gov” vào thanh URL, trình duyệt mặc định sử dụng http: //.
- Người dùng có thể nhấp vào liên kết cũ sử dụng nhầm URL http: //.
- Mạng của người dùng có thể chống đối và chủ động viết lại các liên kết https: // thành http: //
HSTS sẽ ngăn điều này xảy ra bằng cách buộc những trình duyệt không gật đầu liên kết HTTP. Nó sẽ cho trình duyệt biết rằng hàng loạt website chỉ nên được truy vấn bằng giao thức bảo đảm an toàn HTTPS .
Cách tải HSTS vào Chrome
Google Chrome có chương trình tải trước HSTS, những nhà phát hành hoàn toàn có thể gửi website của họ để Chrome liệt kê và chỉ được cho phép truy vấn bằng HTTPS protocol
Sau đó, nhiều trình duyệt web dựa trên Chrome sẽ tải trước những website này bằng HTTPS và chỉ trải qua HTTPS, mã hóa cứng chuẩn ngay trong trình duyệt .
Các website đủ điều kiện kèm theo phải đang phân phối tiêu đề bảo mật thông tin HSTS .
Đây là 4 điều kiện kèm theo thiết yếu để tải trước HSTS từ Chrome
- Cung cấp chứng chỉ hợp lệ
- Chuyển hướng từ HTTP sang HTTPS trên cùng một máy chủ, nếu bạn đang trên cổng 80
- Phân phối tất cả các miền phụ qua HTTPS. Đặc biệt, bạn phải hỗ trợ HTTPS cho miền phụ www nếu bản ghi DNS cho miền phụ đó tồn tại
- Cung cấp tiêu đề HSTS trên miền cơ sở cho các yêu cầu HTTPS:
- – Độ tuổi tối đa ít nhất phải là 31536000 giây (1 năm).
- – Chỉ thị include SubDomains phải được chỉ định.
- – Chỉ thị tải trước phải được chỉ định.
- – Nếu bạn đang cung cấp chuyển hướng bổ sung từ trang HTTPS của bạn, chuyển hướng đó vẫn phải có tiêu đề HSTS (thay vì trang mà nó chuyển hướng đến)
3. X-Content-Types-Options
Security header này ngăn ngừa một số ít loại khai thác hoàn toàn có thể xảy ra, ví dụ điển hình như trải qua nội dung ô nhiễm do người dùng tạo .
Trình duyệt hoàn toàn có thể “ đánh hơi ” nếu nội dung là hình ảnh (. jpg ), phim (. mp4 ) hoặc văn bản, HTML, JavaScript và những loại nội dung khác hoàn toàn có thể được tải xuống từ một website .
Tính năng “ đánh hơi ” được cho phép trình duyệt tải xuống những thành phần của website và hiển thị chúng một cách đúng chuẩn, đặc biệt quan trọng là trong những trường hợp khi siêu dữ liệu mà trình duyệt cần để hiển thị phần tử bị thiếu .
Tính năng Sniffing được cho phép trình duyệt tìm ra thành phần là gì ( hình ảnh, văn bản, v.v. ) và sau đó hiển thị phần tử đó .
Tuy nhiên, tin tặc sẽ cố gắng nỗ lực đánh lừa những trình duyệt nghĩ rằng một tệp JavaScript có hại thực sự chỉ là một hình ảnh, được cho phép trình duyệt tải xuống tệp và sau đó thực thi tệp đó, gây ra hiệu quả xấu đi cho khách truy vấn website đó, đặc biệt quan trọng là với những gì được gọi là tiến công bằng cách Drive-by Download Attack .
X-Content-Types-Options header hoàn toàn có thể ngăn ngừa điều đó và những cuộc tiến công tương quan bằng cách vô hiệu năng lực “ đánh hơi ” loại nội dung của trình duyệt .
4. X-Frame-Options
X-frame-options Security header giúp ngăn ngừa những cuộc tiến công click-jacking .
Theo Mozilla, Click-jacking có nghĩa là:
“ … lừa người dùng nhấp vào link, nút, v.v. khác với những gì người dùng nghĩ. Điều này hoàn toàn có thể được sử dụng để lấy cắp thông tin đăng nhập hoặc để nhận được sự được cho phép vô tình của người dùng để setup một ứng dụng ô nhiễm. “
X-Frame-Options hoạt động giải trí bằng cách ngăn website khỏi hiển thị bằng iframe. Tuy nhiên, nó ngăn ngừa được nhiều thứ hơn nữa chứ không chỉ những cuộc tiến công dự trên iframe .
Microsoft định nghĩa “ frame sniffing ” :
“ Frame sniffing là một kỹ thuật tiến công tận dụng công dụng của trình duyệt để lấy cắp tài liệu từ một website. Các ứng dụng web được cho phép tàng trữ nội dung của chúng trong tên miền chéo IFRAME hoàn toàn có thể dễ bị tiến công. Tiêu đề X-Frame-Options hoàn toàn có thể được sử dụng để trấn áp xem một trang hoàn toàn có thể được đặt trong IFRAME hay không. Bởi vì kỹ thuật Frame sniffing dựa vào việc hoàn toàn có thể đặt trang nạn nhân vào IFRAME, ứng dụng web hoàn toàn có thể tự bảo vệ bằng cách gửi tiêu đề X-Frame-Options thích hợp. ”
X-Frame-Options header rất quan trọng trong việc bảo vệ người truy vấn website cũng như khét tiếng website của bạn .
Việc trở nên nổi tiếng trên những phương tiện đi lại tiếp thị quảng cáo xã hội và sự phá triển của Internet như một mối nguy hại về bảo mật thông tin, gây ra tai hại cho việc làm kinh doanh thương mại. Vì vậy, X-Frame-Options header là một giải pháp bảo mật thông tin có ích để tiến hành .
5. Referrer-policy
Mục đích của Referrer-policy header là cho phép nhà phát hành web trấn áp thông tin nào được gửi khi người truy vấn website nhấp vào link để truy vấn website khác .
Khi người truy vấn nhấp vào link và chuyển hướng đến một website khác, trình duyệt của người truy vấn sẽ cung ứng thông tin về website nào đã gửi link truy vấn đó .
Khi bạn nhìn vào nhật ký sever của mình, thông tin link ra mắt được gửi cho biết những website nào đã gửi khách truy vấn .
Tuy nhiên, có 1 số ít trường hợp, URL của website ra mắt một người truy vấn đến một người truy vấn khác hoàn toàn có thể chứa thông tin nhạy cảm với rủi ro tiềm ẩn bị rò rỉ cho bên thứ ba .
Trong trường hợp này, Referrer-Policy hoạt động giải trí bằng cách số lượng giới hạn thông tin được gửi sau khi người truy vấn nhấp vào link .
Nhà phát hành trang web hoàn toàn có thể chọn không gửi thông tin đến link trình làng, thay vào đó là chỉ gửi tên miền hoặc gửi hàng loạt chuỗi URL .
Có 8 thông tư hoàn toàn có thể được gửi bằng cách sử dụng Referrer-Policy header :
- Referrer-Policy: no-referrer.
- Referrer-Policy: no-referrer-when-downgrade.
- Referrer-Policy: origin.
- Referrer-Policy: origin-when-cross-origin.
- Referrer-Policy: same-origin.
- Referrer-Policy: strict-origin.
- Referrer-Policy: strict-origin-when-cross-origin.
- Referrer-Policy: unsafe-url.
Một thiết lập phổ cập là “ no-referrer-when-downgrade ”, có nghĩa là thông tin link trình làng sẽ được gửi đến những URL đáng an toàn và đáng tin cậy trên HTTPS nhưng không được gửi đến những website HTTP không đáng đáng tin cậy .
Một điều quan trọng cần quan tâm, đó là setup Referrer-Policy sẽ không ảnh hưởng tác động đến tiếp thị link .
tin tức link trình làng được mã hóa trong URL trang đích, do đó thông tin link trình làng và thu nhập được ghi lại bởi người bán nhận được tiếp thị link .
Cách triển khai Security Headers
Có khá nhiều cách để tiến hành Security Headers, trong đó, cách phổ cập nhất là sử dụng tệp. htaccess .
Lợi ích của việc sử dụng tệp. htaccess là nó giúp nhà phát hành không phải tải xuống một plugin khác .
Các plugin được mã hóa kém hoàn toàn có thể trở thành một rủi ro tiềm ẩn bảo mật thông tin, thế cho nên việc giảm thiểu số lượng plugin được setup là rất có ích .
Lưu ý: Mỗi cách triển khai Security Headers đều khác nhau tùy theo chi tiết cụ thể của từng trang web, đặc biệt là Content-Security-Policy (CSP)
Các Worldpress Plugins để cài đặt Security Headers.
Có một số ít plugin phổ cập đã được thiết lập trên hàng triệu trang web đi kèm với tùy chọn đặt Security Header .
Nếu bạn đã setup những plugin này, thì tùy chọn sử dụng plugin thay vì sử dụng tệp. htaccess sẽ có sẵn cho những người thích sự thuận tiện .
Really Simple SSL
Hơn 5 triệu websites đã thiết lập và sử dụng Really Simple SSL
Nâng cấp lên phiên bản chuyên nghiệp có giá hài hòa và hợp lý, phân phối tùy chọn để thiết lập lên đến 8 Security Headers một cách thật thuận tiện .
Redirection
WordPress ReDirection không tính tiền 100 % đã xuất hiện hơn 10 năm và được setup bởi hơn 2 triệu trang web .
Plugin này được cho phép bạn chọn nhiều tiêu đề bảo mật thông tin setup trước khác nhau, ngoài 5 tiêu đề số 1 được liệt kê trong bài viết này .
Cài đặt trước tức là bạn hoàn toàn có thể chọn từ những thông tư tiêu chuẩn .
Theo Redirection WordPress :
“ THÊM HTTP Header
HTTP Header hoàn toàn có thể được thêm vào chuyển hướng hoặc hàng loạt website của bạn để giúp giảm tác động ảnh hưởng của chuyển hướng hoặc giúp tăng cường bảo mật thông tin. Bạn cũng hoàn toàn có thể thêm những Header tùy chỉnh của riêng mình. ”
Ngoài ra, ReDirection plugin được cho phép bạn tùy chỉnh tạo những tiêu đề bảo mật thông tin của riêng mình nếu có thứ gì đó mà bạn không tìm thấy .
Security Header UIReDirection plugin giúp thiết lập thuận tiện thành công xuất sắc 5 tiêu đề bảo mật thông tin số 1 :
- X-Frame-Options.
- X-Content-Type-Options.
- Referrer-Policy.
- Strict-Transport-Security.
- Content-Security-Policy.
Đặt Security Headers với Cloudflare
Cloudflare có một cách để đặt security header là sử dụng những Cloudflare workers .
Cloudflare cũng có một trang tương hỗ với những hướng dẫn :
“ Đính kèm những headers
Để đính kèm headers vào phản hồi của Trang Cloudflare, hãy tạo tệp văn bản thuần túy _headers trong thư mục đầu ra của dự án Bất Động Sản .
Nó thường là thư mục chứa những tệp HTML chuẩn bị sẵn sàng tiến hành và nội dung được tạo bởi bản dựng, ví dụ điển hình như hình tượng yêu quý .
Không phải khi nào tệp _headers cũng nằm trong thư mục gốc của kho tàng trữ. Các biến hóa so với tiêu đề sẽ được update vào website của bạn tại thời gian kiến thiết xây dựng, thế cho nên hãy bảo vệ bạn cam kết và đẩy tệp để kích hoạt bản dựng mới mỗi khi bạn update headers .
Quy tắc headers được xác lập trong những khối nhiều dòng .
Dòng tiên phong của khối là URL hoặc mẫu URL nơi những tiêu đề của quy tắc sẽ được vận dụng. Trên dòng tiếp theo, list tên tiêu đề và giá trị tiêu đề được thụt lề phải được viết … ”
Cách kiểm tra Security Headers
Security headers khá thuận tiện để kiểm tra .
SecurityHeader. com cung ứng dịch vụ kiểm tra không tính tiền .
Phần mềm truy thuế kiểm toán trang web Screaming Frog cũng là một trong những sự lựa chọn có sẵn trong tab bảo mật thông tin .
Để Security Headers trở thành một phần trong quá trình kiểm tra SEO của bạn
Security headers là thứ mà khá nhiều nhà phát hành web hay những chuyên viên SEO không để tâm đến .
Thế nhưng, Security Header là rất quan trọng và nên được chăm sóc số 1 trong mọi cuộc kiểm tra website, mặc dầu cuộc kiểm tra đó được triển khai nội bộ hay website SEO của bên thứ ba .
Bảo mật website là yếu tố tương quan đến SEO, việc không giảm thiểu những yếu tố xấu đi về bảo mật thông tin hoàn toàn có thể đảo ngược mọi thành công xuất sắc tương quan đến xếp hạng .
Danh tiếng xấu sẽ ảnh hưởng đến xếp hạng và doanh số bán hàng.
Xem thêm: Tất tần tận về Struct trong C++
Mất năng lực hiển thị tìm kiếm gây ra thiệt hại nghiêm trọng .
Việc tiến hành những security headers tương đối thuận tiện, nó cần phải được ưu tiên kiểm tra khi phát hành bất kể website nào .
Source: https://final-blade.com
Category : Kiến thức Internet
