30 Αυγούστου 2025Ελληνικά

Ένας ολοκληρωμένος οδηγός για την Πολιτική Ασφάλειας Περιεχομένου (CSP) και άλλες κεφαλίδες ασφαλείας frontend, προστατεύοντας τις web εφαρμογές από επιθέσεις.

Κεφαλίδες Ασφαλείας Frontend: Κατανοώντας σε Βάθος την Πολιτική Ασφάλειας Περιεχομένου (CSP)

Στο σημερινό ψηφιακό τοπίο, όπου οι διαδικτυακές εφαρμογές γίνονται όλο και πιο σύνθετες και διασυνδεδεμένες, η προστασία από απειλές ασφαλείας είναι υψίστης σημασίας. Ενώ η ασφάλεια του backend συχνά λαμβάνει σημαντική προσοχή, η ασφάλεια του frontend είναι εξίσου κρίσιμη. Οι κεφαλίδες ασφαλείας frontend λειτουργούν ως η πρώτη γραμμή άμυνας, παρέχοντας έναν μηχανισμό για να καθοδηγούν το πρόγραμμα περιήγησης (browser) σχετικά με τον τρόπο συμπεριφοράς και να προστατεύουν τους χρήστες από διάφορες επιθέσεις. Μεταξύ αυτών των κεφαλίδων, η Πολιτική Ασφάλειας Περιεχομένου (Content Security Policy - CSP) ξεχωρίζει ως ένα ισχυρό εργαλείο για τον μετριασμό ενός ευρέος φάσματος κινδύνων.

Τι είναι οι Κεφαλίδες Ασφαλείας Frontend;

Οι κεφαλίδες ασφαλείας frontend είναι κεφαλίδες απόκρισης HTTP (HTTP response headers) που ένας web server στέλνει στο πρόγραμμα περιήγησης. Αυτές οι κεφαλίδες περιέχουν οδηγίες για το πώς το πρόγραμμα περιήγησης πρέπει να χειριστεί το περιεχόμενο που λαμβάνει. Βοηθούν στην πρόληψη κοινών επιθέσεων όπως:

Cross-Site Scripting (XSS): Έγχυση κακόβουλων scripts σε αξιόπιστους ιστότοπους.
Clickjacking: Εξαπάτηση των χρηστών ώστε να κάνουν κλικ σε κάτι διαφορετικό από αυτό που αντιλαμβάνονται.
Επιθέσεις Man-in-the-Middle: Υποκλοπή της επικοινωνίας μεταξύ του χρήστη και του διακομιστή.

Μερικές από τις πιο σημαντικές κεφαλίδες ασφαλείας frontend περιλαμβάνουν:

Content Security Policy (CSP): Καθορίζει τις πηγές από τις οποίες επιτρέπεται στο πρόγραμμα περιήγησης να φορτώνει πόρους.
Strict-Transport-Security (HSTS): Αναγκάζει το πρόγραμμα περιήγησης να χρησιμοποιεί HTTPS για όλη την επικοινωνία με τον ιστότοπο.
X-Frame-Options: Αποτρέπει την ενσωμάτωση του ιστοτόπου σε ένα iframe, μετριάζοντας τις επιθέσεις clickjacking.
X-XSS-Protection: Ενεργοποιεί το ενσωματωμένο φίλτρο XSS του προγράμματος περιήγησης. (Σημείωση: Συχνά αντικαθίσταται από το CSP, αλλά μπορεί ακόμα να παρέχει ένα επίπεδο άμυνας).
Referrer-Policy: Ελέγχει την ποσότητα των πληροφοριών παραπομπής (referrer information) που αποστέλλονται με τα αιτήματα.
Feature-Policy (τώρα Permissions-Policy): Επιτρέπει στους προγραμματιστές να ενεργοποιούν και να απενεργοποιούν επιλεκτικά λειτουργίες και APIs του προγράμματος περιήγησης.

Εις Βάθος Ανάλυση της Πολιτικής Ασφάλειας Περιεχομένου (CSP)

Η Πολιτική Ασφάλειας Περιεχομένου (CSP) είναι μια κεφαλίδα απόκρισης HTTP που ελέγχει τους πόρους που επιτρέπεται να φορτώσει ο user agent για μια δεδομένη σελίδα. Ουσιαστικά, δημιουργεί μια λίστα επιτρεπόμενων πηγών (whitelist) για εγκεκριμένο περιεχόμενο, μειώνοντας σημαντικά τον κίνδυνο επιθέσεων XSS. Καθορίζοντας ρητά τις προελεύσεις από τις οποίες μπορούν να φορτωθούν πόροι όπως scripts, stylesheets, εικόνες και γραμματοσειρές, το CSP καθιστά πολύ πιο δύσκολο για τους εισβολείς να εισάγουν κακόβουλο κώδικα στον ιστότοπό σας.

Πώς Λειτουργεί το CSP

Το CSP λειτουργεί παρέχοντας στο πρόγραμμα περιήγησης μια λίστα εγκεκριμένων πηγών για διαφορετικούς τύπους περιεχομένου. Όταν το πρόγραμμα περιήγησης συναντήσει έναν πόρο που παραβιάζει το CSP, μπλοκάρει τον πόρο και αναφέρει την παραβίαση. Αυτός ο μηχανισμός μπλοκαρίσματος εμποδίζει την εκτέλεση κακόβουλου κώδικα, ακόμη και αν ένας εισβολέας καταφέρει να τον εισάγει στο HTML.

Οδηγίες (Directives) του CSP

Οι οδηγίες (directives) του CSP είναι τα βασικά συστατικά μιας πολιτικής CSP. Καθορίζουν τις επιτρεπόμενες πηγές για διαφορετικούς τύπους πόρων. Μερικές από τις πιο συχνά χρησιμοποιούμενες οδηγίες περιλαμβάνουν:

default-src: Ορίζει την προεπιλεγμένη πηγή για όλους τους τύπους πόρων. Είναι μια οδηγία υποχώρησης (fallback) που εφαρμόζεται όταν δεν ορίζονται άλλες, πιο συγκεκριμένες οδηγίες.
script-src: Καθορίζει τις επιτρεπόμενες πηγές για JavaScript.
style-src: Καθορίζει τις επιτρεπόμενες πηγές για φύλλα στυλ CSS.
img-src: Καθορίζει τις επιτρεπόμενες πηγές για εικόνες.
font-src: Καθορίζει τις επιτρεπόμενες πηγές για γραμματοσειρές.
media-src: Καθορίζει τις επιτρεπόμενες πηγές για ήχο και βίντεο.
object-src: Καθορίζει τις επιτρεπόμενες πηγές για plugins όπως το Flash. (Γενικά είναι καλύτερο να αποφεύγεται η άδεια για plugins, αν είναι δυνατόν).
frame-src: Καθορίζει τις επιτρεπόμενες πηγές για πλαίσια (iframes).
connect-src: Καθορίζει τις επιτρεπόμενες πηγές για αιτήματα δικτύου (AJAX, WebSockets).
base-uri: Περιορίζει τα URLs που μπορούν να χρησιμοποιηθούν σε ένα στοιχείο <base>.
form-action: Περιορίζει τα URLs στα οποία μπορούν να υποβληθούν φόρμες.
frame-ancestors: Καθορίζει έγκυρους γονείς που μπορούν να ενσωματώσουν μια σελίδα χρησιμοποιώντας <frame>, <iframe>, <object>, <embed>, ή <applet>. Αυτή η οδηγία παρέχει προστασία από το Clickjacking.
upgrade-insecure-requests: Δίνει εντολή στους user agents να αντιμετωπίζουν όλα τα μη ασφαλή URLs ενός ιστότοπου (που φορτώνονται μέσω HTTP) σαν να έχουν αντικατασταθεί με ασφαλή URLs (που φορτώνονται μέσω HTTPS). Αυτή η οδηγία προορίζεται για ιστότοπους που βρίσκονται στη διαδικασία μετάβασης από HTTP σε HTTPS.
report-uri: Καθορίζει ένα URL στο οποίο το πρόγραμμα περιήγησης πρέπει να στέλνει αναφορές για παραβιάσεις του CSP. Έχει καταργηθεί υπέρ του `report-to`.
report-to: Καθορίζει ένα όνομα ομάδας που ορίζεται σε μια κεφαλίδα `Report-To`. Αυτό επιτρέπει πιο λεπτομερή έλεγχο των αναφορών, συμπεριλαμβανομένου του καθορισμού πολλαπλών σημείων αναφοράς.

Τιμές Πηγών (Source Values) του CSP

Οι τιμές πηγών καθορίζουν τις προελεύσεις από τις οποίες επιτρέπεται η φόρτωση πόρων. Μερικές κοινές τιμές πηγών περιλαμβάνουν:

*: Επιτρέπει περιεχόμενο από οποιαδήποτε πηγή (Αποφύγετε τη χρήση του σε περιβάλλον παραγωγής!).
'self': Επιτρέπει περιεχόμενο από την ίδια προέλευση (σχήμα, κεντρικός υπολογιστής και θύρα) με το προστατευόμενο έγγραφο.
'none': Δεν επιτρέπει περιεχόμενο από καμία πηγή.
'unsafe-inline': Επιτρέπει τη χρήση ενσωματωμένων (inline) JavaScript και CSS (Αποφύγετε τη χρήση του σε περιβάλλον παραγωγής!).
'unsafe-eval': Επιτρέπει τη χρήση δυναμικής αξιολόγησης κώδικα (π.χ., eval(), Function()) (Αποφύγετε τη χρήση του σε περιβάλλον παραγωγής!).
'strict-dynamic': Καθορίζει ότι η εμπιστοσύνη που δίνεται ρητά σε ένα script που υπάρχει στο markup, συνοδευόμενο από ένα nonce ή hash, θα διαδοθεί σε όλα τα scripts που φορτώνονται από αυτόν τον πρόγονο.
'unsafe-hashes': Επιτρέπει συγκεκριμένους ενσωματωμένους χειριστές συμβάντων (inline event handlers). Γενικά αποθαρρύνεται λόγω της πολυπλοκότητάς του και του περιορισμένου οφέλους.
data:: Επιτρέπει τη φόρτωση πόρων από data URLs (π.χ., ενσωματωμένες εικόνες). Χρησιμοποιήστε με προσοχή.
mediastream:: Επιτρέπει τη χρήση `mediastream:` URIs ως πηγή πολυμέσων.
blob:: Επιτρέπει τη χρήση `blob:` URIs ως πηγή πολυμέσων.
filesystem:: Επιτρέπει τη φόρτωση πόρων από ένα σύστημα αρχείων.
https://example.com: Επιτρέπει περιεχόμενο από ένα συγκεκριμένο domain και θύρα.
*.example.com: Επιτρέπει περιεχόμενο από οποιοδήποτε subdomain του example.com.
nonce-{random-value}: Επιτρέπει scripts ή styles με ένα αντίστοιχο χαρακτηριστικό nonce. Αυτό απαιτεί τη δημιουργία μιας τυχαίας τιμής nonce από την πλευρά του διακομιστή για κάθε αίτημα.
sha256-{hash-value}: Επιτρέπει scripts ή styles με έναν αντίστοιχο κατακερματισμό (hash) SHA256, SHA384 ή SHA512.

Λειτουργίες CSP: Enforce (Επιβολή) vs. Report-Only (Μόνο Αναφορά)

Το CSP μπορεί να αναπτυχθεί σε δύο λειτουργίες:

Λειτουργία Επιβολής (Enforce Mode): Σε αυτή τη λειτουργία, το πρόγραμμα περιήγησης μπλοκάρει οποιουσδήποτε πόρους παραβιάζουν το CSP. Αυτή είναι η συνιστώμενη λειτουργία για περιβάλλοντα παραγωγής. Το CSP αποστέλλεται χρησιμοποιώντας την κεφαλίδα `Content-Security-Policy`.
Λειτουργία Μόνο Αναφοράς (Report-Only Mode): Σε αυτή τη λειτουργία, το πρόγραμμα περιήγησης αναφέρει τις παραβιάσεις του CSP αλλά δεν μπλοκάρει τους πόρους. Αυτό είναι χρήσιμο για τον έλεγχο και την αξιολόγηση ενός CSP πριν από την επιβολή του. Το CSP αποστέλλεται χρησιμοποιώντας την κεφαλίδα `Content-Security-Policy-Report-Only`.

Υλοποίηση CSP: Οδηγός Βήμα προς Βήμα

Η υλοποίηση του CSP μπορεί να φαίνεται δύσκολη, αλλά ακολουθώντας μια δομημένη προσέγγιση, μπορείτε να ασφαλίσετε αποτελεσματικά την εφαρμογή σας.

1. Ξεκινήστε με μια Πολιτική Report-Only

Ξεκινήστε αναπτύσσοντας ένα CSP σε λειτουργία μόνο αναφοράς. Αυτό σας επιτρέπει να παρακολουθείτε τις παραβιάσεις χωρίς να διαταράξετε τη λειτουργικότητα του ιστότοπού σας. Διαμορφώστε την οδηγία report-uri ή report-to για να στέλνετε αναφορές παραβιάσεων σε ένα καθορισμένο endpoint.

Παράδειγμα κεφαλίδας (Report-Only): Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report

2. Αναλύστε τις Αναφορές Παραβιάσεων

Αναλύστε προσεκτικά τις αναφορές παραβιάσεων για να εντοπίσετε ποιοι πόροι μπλοκάρονται και γιατί. Αυτό θα σας βοηθήσει να κατανοήσετε τις εξαρτήσεις πόρων του ιστότοπού σας και να εντοπίσετε πιθανές ευπάθειες ασφαλείας.

Οι αναφορές παραβιάσεων συνήθως αποστέλλονται ως JSON payloads στο διαμορφωμένο endpoint report-uri ή report-to. Αυτές οι αναφορές περιέχουν πληροφορίες σχετικά με την παραβίαση, όπως το μπλοκαρισμένο URI, την οδηγία που παραβιάστηκε και το URI του εγγράφου.

3. Βελτιώστε την Πολιτική CSP

Με βάση τις αναφορές παραβιάσεων, βελτιώστε την πολιτική CSP σας για να επιτρέψετε τους νόμιμους πόρους, διατηρώντας παράλληλα μια ισχυρή στάση ασφαλείας. Προσθέστε συγκεκριμένες τιμές πηγών για τους πόρους που μπλοκάρονται. Εξετάστε τη χρήση nonces ή hashes για ενσωματωμένα scripts και styles για να αποφύγετε τη χρήση του 'unsafe-inline'.

4. Μεταβείτε στη Λειτουργία Επιβολής

Μόλις είστε βέβαιοι ότι η πολιτική CSP σας δεν μπλοκάρει νόμιμους πόρους, μεταβείτε στη λειτουργία επιβολής. Αυτό θα μπλοκάρει τυχόν εναπομείνασες παραβιάσεις και θα παρέχει ένα ισχυρό επίπεδο ασφάλειας έναντι των επιθέσεων XSS.

Παράδειγμα κεφαλίδας (Enforce): Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report

5. Παρακολουθήστε και Συντηρήστε την Πολιτική CSP

Το CSP δεν είναι μια λύση τύπου «ρύθμισε και ξέχασε». Είναι απαραίτητο να παρακολουθείτε συνεχώς την πολιτική CSP σας και να την ενημερώνετε καθώς ο ιστότοπός σας εξελίσσεται και εμφανίζονται νέες απειλές ασφαλείας. Ελέγχετε τακτικά τις αναφορές παραβιάσεων και προσαρμόζετε την πολιτική ανάλογα με τις ανάγκες.

Πρακτικά Παραδείγματα CSP

Ας δούμε μερικά πρακτικά παραδείγματα CSP για διαφορετικά σενάρια:

Παράδειγμα 1: Βασικό CSP για έναν Απλό Ιστότοπο

Αυτό το CSP επιτρέπει περιεχόμενο από την ίδια προέλευση και επιτρέπει εικόνες από οποιαδήποτε πηγή.

Content-Security-Policy: default-src 'self'; img-src *

Παράδειγμα 2: CSP με Συγκεκριμένες Πηγές Script και Style

Αυτό το CSP επιτρέπει scripts από την ίδια προέλευση και από ένα συγκεκριμένο CDN, και styles από την ίδια προέλευση και ενσωματωμένα styles.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'

Παράδειγμα 3: CSP με Nonces για Ενσωματωμένα Scripts

Αυτό το CSP απαιτεί ένα μοναδικό nonce για κάθε ενσωματωμένο script.

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-r4nd0mn0nc3'

HTML:

<script nonce="r4nd0mn0nc3">console.log('Hello, world!');</script>

Σημαντικό: Η τιμή του nonce πρέπει να δημιουργείται δυναμικά στον διακομιστή για κάθε αίτημα. Αυτό εμποδίζει τους επιτιθέμενους να επαναχρησιμοποιήσουν το nonce.

Παράδειγμα 4: CSP που Περιορίζει τους Frame Ancestors για την Πρόληψη του Clickjacking

Αυτό το CSP εμποδίζει την ενσωμάτωση της σελίδας σε ένα iframe σε οποιοδήποτε domain εκτός από το `https://example.com`.

Content-Security-Policy: frame-ancestors 'self' https://example.com

Παράδειγμα 5: Ένα πιο περιοριστικό CSP που χρησιμοποιεί 'strict-dynamic' και υποχώρηση στο 'self'

Αυτό το CSP αξιοποιεί το `strict-dynamic` για σύγχρονα προγράμματα περιήγησης, ενώ εξακολουθεί να υποστηρίζει παλαιότερα προγράμματα περιήγησης που δεν το υποστηρίζουν. Περιλαμβάνει επίσης ένα `report-uri` για την παρακολούθηση των παραβιάσεων.

Content-Security-Policy: default-src 'self'; script-src 'strict-dynamic' 'nonce-{random-nonce}' 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report

Θυμηθείτε να αντικαταστήσετε το `{random-nonce}` με μια δυναμικά παραγόμενη τιμή nonce από την πλευρά του διακομιστή.

CSP και Εφαρμογές Μονής Σελίδας (SPAs)

Η υλοποίηση του CSP σε SPAs μπορεί να είναι πρόκληση λόγω της δυναμικής φύσης αυτών των εφαρμογών. Τα SPAs συχνά βασίζονται σε μεγάλο βαθμό στη JavaScript για τη δημιουργία και τον χειρισμό του DOM, γεγονός που μπορεί να οδηγήσει σε παραβιάσεις του CSP εάν δεν αντιμετωπιστεί προσεκτικά.

Ακολουθούν μερικές συμβουλές για την υλοποίηση του CSP σε SPAs:

Αποφύγετε τα 'unsafe-inline' και 'unsafe-eval': Αυτές οι οδηγίες πρέπει να αποφεύγονται όποτε είναι δυνατόν στα SPAs. Αποδυναμώνουν σημαντικά την ασφάλεια της εφαρμογής σας.
Χρησιμοποιήστε Nonces ή Hashes: Χρησιμοποιήστε nonces ή hashes για ενσωματωμένα scripts και styles. Αυτή είναι η συνιστώμενη προσέγγιση για τα SPAs.
Εξετάστε τη χρήση Trusted Types: Το Trusted Types είναι ένα API του προγράμματος περιήγησης που βοηθά στην πρόληψη των ευπαθειών DOM-based XSS. Μπορεί να χρησιμοποιηθεί σε συνδυασμό με το CSP για την περαιτέρω ενίσχυση της ασφάλειας.
Χρησιμοποιήστε ένα framework συμβατό με CSP: Ορισμένα frontend frameworks (όπως το React με συγκεκριμένες διαμορφώσεις, το Angular και το Vue.js) παρέχουν δυνατότητες που σας βοηθούν να υλοποιήσετε το CSP πιο εύκολα.

Άλλες Σημαντικές Κεφαλίδες Ασφαλείας Frontend

Ενώ το CSP αποτελεί ακρογωνιαίο λίθο της ασφάλειας frontend, άλλες κεφαλίδες παίζουν κρίσιμο ρόλο στην παροχή μιας ολοκληρωμένης στρατηγικής άμυνας:

Strict-Transport-Security (HSTS)

Η κεφαλίδα Strict-Transport-Security (HSTS) δίνει εντολή στο πρόγραμμα περιήγησης να χρησιμοποιεί πάντα HTTPS για να συνδεθεί στον ιστότοπο. Αυτό αποτρέπει τις επιθέσεις man-in-the-middle που προσπαθούν να υποβαθμίσουν τη σύνδεση σε HTTP.

Παράδειγμα κεφαλίδας: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

max-age: Καθορίζει τη διάρκεια (σε δευτερόλεπτα) για την οποία το πρόγραμμα περιήγησης πρέπει να θυμάται να έχει πρόσβαση στον ιστότοπο μόνο μέσω HTTPS. Μια τιμή 31536000 δευτερολέπτων (1 έτος) συνιστάται για περιβάλλοντα παραγωγής.
includeSubDomains: Υποδεικνύει ότι η πολιτική HSTS ισχύει για όλα τα subdomains του domain.
preload: Επιτρέπει στο domain να συμπεριληφθεί σε μια λίστα HSTS-enabled domains που είναι προφορτωμένη στα προγράμματα περιήγησης. Αυτό απαιτεί την υποβολή του domain σας στη λίστα προφόρτωσης HSTS που διατηρεί η Google.

X-Frame-Options

Η κεφαλίδα X-Frame-Options αποτρέπει τις επιθέσεις clickjacking ελέγχοντας αν ο ιστότοπος μπορεί να ενσωματωθεί σε ένα iframe.

Παράδειγμα κεφαλίδας: X-Frame-Options: DENY

Πιθανές τιμές:

DENY: Αποτρέπει την εμφάνιση της σελίδας σε ένα iframe, ανεξάρτητα από την προέλευση.
SAMEORIGIN: Επιτρέπει την εμφάνιση της σελίδας σε ένα iframe μόνο εάν η προέλευση του iframe ταιριάζει με την προέλευση της σελίδας.
ALLOW-FROM uri: Επιτρέπει την εμφάνιση της σελίδας σε ένα iframe μόνο εάν η προέλευση του iframe ταιριάζει με το καθορισμένο URI. Σημείωση: Αυτή η επιλογή είναι καταργημένη και ενδέχεται να μην υποστηρίζεται από όλα τα προγράμματα περιήγησης.

Σημείωση: Η οδηγία frame-ancestors στο CSP παρέχει έναν πιο ευέλικτο και ισχυρό τρόπο ελέγχου της πλαισίωσης και γενικά προτιμάται έναντι του X-Frame-Options.

X-XSS-Protection

Η κεφαλίδα X-XSS-Protection ενεργοποιεί το ενσωματωμένο φίλτρο XSS του προγράμματος περιήγησης. Ενώ το CSP είναι μια πιο ισχυρή λύση για την πρόληψη επιθέσεων XSS, αυτή η κεφαλίδα μπορεί να παρέχει ένα επιπλέον επίπεδο άμυνας, ειδικά για παλαιότερα προγράμματα περιήγησης που ενδέχεται να μην υποστηρίζουν πλήρως το CSP.

Παράδειγμα κεφαλίδας: X-XSS-Protection: 1; mode=block

1: Ενεργοποιεί το φίλτρο XSS.
0: Απενεργοποιεί το φίλτρο XSS.
mode=block: Δίνει εντολή στο πρόγραμμα περιήγησης να μπλοκάρει τη σελίδα εάν εντοπιστεί επίθεση XSS.
report=uri: Καθορίζει ένα URL στο οποίο το πρόγραμμα περιήγησης πρέπει να στείλει μια αναφορά εάν εντοπιστεί επίθεση XSS.

Referrer-Policy

Η κεφαλίδα Referrer-Policy ελέγχει την ποσότητα των πληροφοριών παραπομπής που αποστέλλονται με τα αιτήματα. Οι πληροφορίες παραπομπής μπορούν να χρησιμοποιηθούν για την παρακολούθηση των χρηστών σε διάφορους ιστότοπους, επομένως ο έλεγχός τους μπορεί να βελτιώσει την ιδιωτικότητα των χρηστών.

Παράδειγμα κεφαλίδας: Referrer-Policy: strict-origin-when-cross-origin

Μερικές κοινές τιμές:

no-referrer: Δεν αποστέλλεται ποτέ η κεφαλίδα Referer.
no-referrer-when-downgrade: Δεν αποστέλλεται η κεφαλίδα Referer σε προελεύσεις χωρίς TLS (HTTPS).
origin: Αποστέλλεται μόνο η προέλευση (σχήμα, κεντρικός υπολογιστής και θύρα) στην κεφαλίδα Referer.
origin-when-cross-origin: Αποστέλλεται η προέλευση για αιτήματα cross-origin και το πλήρες URL για αιτήματα same-origin.
same-origin: Αποστέλλεται η κεφαλίδα Referer για αιτήματα same-origin, αλλά όχι για αιτήματα cross-origin.
strict-origin: Αποστέλλεται μόνο η προέλευση όταν το επίπεδο ασφάλειας του πρωτοκόλλου παραμένει το ίδιο (HTTPS σε HTTPS), αλλά δεν αποστέλλεται καμία κεφαλίδα σε έναν λιγότερο ασφαλή προορισμό (HTTPS σε HTTP).
strict-origin-when-cross-origin: Αποστέλλεται η προέλευση όταν εκτελείται ένα αίτημα same-origin. Για αιτήματα cross-origin, αποστέλλεται η προέλευση μόνο όταν το επίπεδο ασφάλειας του πρωτοκόλλου παραμένει το ίδιο (HTTPS σε HTTPS), αλλά δεν αποστέλλεται καμία κεφαλίδα σε έναν λιγότερο ασφαλή προορισμό (HTTPS σε HTTP).
unsafe-url: Αποστέλλεται το πλήρες URL στην κεφαλίδα Referer, ανεξάρτητα από την προέλευση. Χρησιμοποιήστε με εξαιρετική προσοχή, καθώς αυτό μπορεί να εκθέσει ευαίσθητες πληροφορίες.

Permissions-Policy (πρώην Feature-Policy)

Η κεφαλίδα Permissions-Policy (πρώην γνωστή ως Feature-Policy) επιτρέπει στους προγραμματιστές να ενεργοποιούν και να απενεργοποιούν επιλεκτικά λειτουργίες και APIs του προγράμματος περιήγησης. Αυτό μπορεί να βοηθήσει στη μείωση της επιφάνειας επίθεσης της εφαρμογής σας και στη βελτίωση της ιδιωτικότητας των χρηστών.

Παράδειγμα κεφαλίδας: Permissions-Policy: geolocation=()

Αυτό το παράδειγμα απενεργοποιεί το geolocation API για τον ιστότοπο.

Άλλες λειτουργίες που μπορούν να ελεγχθούν με το Permissions-Policy περιλαμβάνουν:

camera
microphone
geolocation
accelerometer
gyroscope
magnetometer
usb
midi
payment
fullscreen

Ρύθμιση Κεφαλίδων Ασφαλείας σε Διαφορετικές Πλατφόρμες

Η μέθοδος για τη ρύθμιση των κεφαλίδων ασφαλείας ποικίλλει ανάλογα με τον web server ή την πλατφόρμα που χρησιμοποιείτε. Ακολουθούν ορισμένα κοινά παραδείγματα:

Apache

Μπορείτε να ορίσετε κεφαλίδες ασφαλείας στον Apache προσθέτοντάς τες στο αρχείο .htaccess ή στο αρχείο διαμόρφωσης του server (httpd.conf).

Παράδειγμα διαμόρφωσης .htaccess:


<IfModule mod_headers.c>
 Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report"
 Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
 Header set X-Frame-Options "DENY"
 Header set X-XSS-Protection "1; mode=block"
 Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

Nginx

Μπορείτε να ορίσετε κεφαλίδες ασφαλείας στον Nginx προσθέτοντάς τες στο server block στο αρχείο διαμόρφωσης του Nginx (nginx.conf).

Παράδειγμα διαμόρφωσης Nginx:


server {
 listen 443 ssl;
 server_name example.com;

 add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; report-uri /csp-report";
 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
 add_header X-Frame-Options "DENY";
 add_header X-XSS-Protection "1; mode=block";
 add_header Referrer-Policy "strict-origin-when-cross-origin";

 ...
}

Node.js (Express)

Μπορείτε να ορίσετε κεφαλίδες ασφαλείας στο Node.js χρησιμοποιώντας middleware όπως το Helmet.

Παράδειγμα με χρήση του Helmet:


const express = require('express');
const helmet = require('helmet');

const app = express();

app.use(helmet());

// Customize CSP if needed
app.use(helmet.contentSecurityPolicy({
 directives: {
 defaultSrc: ["'self'"],
 scriptSrc: ["'self'", "https://cdn.example.com"],
 styleSrc: ["'self'", "'unsafe-inline'"],
 imgSrc: ["'self'", "data:"],
 reportUri: '/csp-report'
 },
}));

app.get('/', (req, res) => {
 res.send('Hello World!');
});

app.listen(3000, () => {
 console.log('Server listening on port 3000');
});

Cloudflare

Το Cloudflare σας επιτρέπει να ορίσετε κεφαλίδες ασφαλείας χρησιμοποιώντας τους κανόνες Page Rules ή Transform Rules.

Έλεγχος των Κεφαλίδων Ασφαλείας σας

Μετά την υλοποίηση των κεφαλίδων ασφαλείας, είναι ζωτικής σημασίας να τις ελέγξετε για να βεβαιωθείτε ότι λειτουργούν σωστά. Διάφορα διαδικτυακά εργαλεία μπορούν να σας βοηθήσουν να αναλύσετε τις κεφαλίδες ασφαλείας του ιστότοπού σας:

SecurityHeaders.com: Ένα απλό και αποτελεσματικό εργαλείο για την ανάλυση των κεφαλίδων ασφαλείας.
Mozilla Observatory: Ένα ολοκληρωμένο εργαλείο για τον έλεγχο της ασφάλειας του ιστότοπου, συμπεριλαμβανομένων των κεφαλίδων ασφαλείας.
WebPageTest.org: Σας επιτρέπει να δείτε τις κεφαλίδες HTTP στο διάγραμμα waterfall.

Συμπέρασμα

Οι κεφαλίδες ασφαλείας frontend, ειδικά η Πολιτική Ασφάλειας Περιεχομένου (CSP), είναι απαραίτητες για την προστασία των διαδικτυακών εφαρμογών από διάφορες επιθέσεις και την ενίσχυση της ασφάλειας των χρηστών. Με την προσεκτική υλοποίηση και συντήρηση αυτών των κεφαλίδων, μπορείτε να μειώσετε σημαντικά τον κίνδυνο XSS, clickjacking και άλλων ευπαθειών ασφαλείας. Θυμηθείτε να ξεκινήσετε με μια πολιτική μόνο αναφοράς, να αναλύσετε τις αναφορές παραβιάσεων, να βελτιώσετε την πολιτική και στη συνέχεια να μεταβείτε στη λειτουργία επιβολής. Παρακολουθείτε και ενημερώνετε τακτικά τις κεφαλίδες ασφαλείας σας για να διατηρείτε τον ιστότοπό σας ασφαλή καθώς εξελίσσεται και εμφανίζονται νέες απειλές.

Υιοθετώντας μια προληπτική προσέγγιση στην ασφάλεια του frontend, μπορείτε να δημιουργήσετε πιο ασφαλείς και αξιόπιστες διαδικτυακές εφαρμογές που προστατεύουν τους χρήστες και την επιχείρησή σας.