Security Headers

Vấn đề thường gặp

Website của bạn có thể bị tấn công XSS (Cross-Site Scripting), clickjacking, hoặc MIME-type sniffing mà không hay biết. Các trình duyệt hiện đại hỗ trợ nhiều HTTP security headers để bảo vệ người dùng, nhưng nhiều website không cấu hình đầy đủ. Thiếu HSTS khiến người dùng dễ bị MITM attack khi truy cập qua HTTP. CSP không đúng cho phép script độc hại chạy trên trang. X-Frame-Options thiếu để website bị nhúng trong iframe lừa đảo.

Security Headers Auditor giúp gì?

Công cụ này kiểm tra toàn diện các HTTP security headers quan trọng: Strict-Transport-Security (HSTS) với max-age, includeSubDomains, preload; Content-Security-Policy (CSP) phân tích từng directive và phát hiện unsafe patterns; X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin headers (COOP, COEP, CORP). Mỗi header được đánh giá theo tiêu chuẩn OWASP và Mozilla Observatory. Kết quả bao gồm điểm số 0-100, grade A+ đến F, và snippets cấu hình sẵn cho Nginx, Apache, Cloudflare Workers.

Khi nào nên sử dụng?

• Sau khi deploy website mới - đảm bảo security headers được cấu hình đúng
• Security audit định kỳ - kiểm tra không có regression trong cấu hình
• Trước khi submit HSTS preload - xác nhận đủ điều kiện preload
• Debug CSP issues - phân tích directives và tìm unsafe patterns
• Compliance check (PCI DSS, SOC 2) - đảm bảo đáp ứng yêu cầu bảo mật