في لحظات تفكير جا فبالي سؤال 🧐:
الحين المتصفح يعتبر أداة وجسر التواصل بين الزائر و الموقع !
طيب هل اقدر استغل هالشي لصالحي واخليه طبقة حماية أولية لزوار الموقع ؟؟
موضوعنا اليوم عن:-
▶️ HTTP Security headers ◀️
جيب قهوتك واستمتع بالقراءة
الحين المتصفح يعتبر أداة وجسر التواصل بين الزائر و الموقع !
طيب هل اقدر استغل هالشي لصالحي واخليه طبقة حماية أولية لزوار الموقع ؟؟
موضوعنا اليوم عن:-
▶️ HTTP Security headers ◀️
جيب قهوتك واستمتع بالقراءة
1⃣
فالبداية
ماهو HTTP Headers :-
هو وسيلة التواصل بين السيرفر ( الموقع ) و الزائر لتنفيذ فعل او الاستعلام عن معلومة.
يعني ببساطة زي الدردشة أخذ وعطا هذا يطلب وهذاك يخدمه ويقوله هاك تفضل ماطلبت شي
او انه يرفض عشان ماعنده او مايقدر !
فالبداية
ماهو HTTP Headers :-
هو وسيلة التواصل بين السيرفر ( الموقع ) و الزائر لتنفيذ فعل او الاستعلام عن معلومة.
يعني ببساطة زي الدردشة أخذ وعطا هذا يطلب وهذاك يخدمه ويقوله هاك تفضل ماطلبت شي
او انه يرفض عشان ماعنده او مايقدر !
2⃣
زي ما نلاحظ فالصورة فالبداية حددنا نوع الطلب ولأي هوست ( موقع ) نبيه يوصل ومين احنا والخ..
كل الكلام هذا يسويه لك المتصفح وانت حاط رجل ع رجل بضغطة زر
وجانا الرد من الموقع بالموافقة واعطانا محتويات الصفحة الي نبي نزورها
زي ما نلاحظ فالصورة فالبداية حددنا نوع الطلب ولأي هوست ( موقع ) نبيه يوصل ومين احنا والخ..
كل الكلام هذا يسويه لك المتصفح وانت حاط رجل ع رجل بضغطة زر
وجانا الرد من الموقع بالموافقة واعطانا محتويات الصفحة الي نبي نزورها
3⃣
طيب هل نقدر نسوي إتفاق أمني بين المتصفح والموقع ونغدر بالزائر ؟
يعني نصيده اذا كان خطر علينا او فيه خطر عليه من مُهاجم
هذا الي طورته المتصفحات الحديثة ك طبقة حماية إضافيه
HTTP security headers
للحماية من هجمات خطيرة مثل
clickjacking ,SSL Striping ,XSS,MITM
وغيرها
طيب هل نقدر نسوي إتفاق أمني بين المتصفح والموقع ونغدر بالزائر ؟
يعني نصيده اذا كان خطر علينا او فيه خطر عليه من مُهاجم
هذا الي طورته المتصفحات الحديثة ك طبقة حماية إضافيه
HTTP security headers
للحماية من هجمات خطيرة مثل
clickjacking ,SSL Striping ,XSS,MITM
وغيرها
4⃣
نبدأ نشرح عن احد أشهر وأهم الهيدرز الأمنية
HTTP Strict Transport Security (HSTS)
عند تفعيل هذا الهيدر يتفق الموقع مع المتصفح ان التواصل لازم يكون مشفر ب
HTTPS
ويمنع بشكل قاطع إرسال أي شي (بيانات ورسائل والخ ) بدون تشفير
للحماية ولضمان خصوصية الزائر .
نبدأ نشرح عن احد أشهر وأهم الهيدرز الأمنية
HTTP Strict Transport Security (HSTS)
عند تفعيل هذا الهيدر يتفق الموقع مع المتصفح ان التواصل لازم يكون مشفر ب
HTTPS
ويمنع بشكل قاطع إرسال أي شي (بيانات ورسائل والخ ) بدون تشفير
للحماية ولضمان خصوصية الزائر .
5⃣
X-XSS-Protection
صُمم هذا الهيدر للحماية من ثغرات
XSS
ب إضافة طبقة إضافيه للفلتره
X-XSS-Protection
صُمم هذا الهيدر للحماية من ثغرات
XSS
ب إضافة طبقة إضافيه للفلتره
6⃣
Content Security Policy (CSP)
من اهم وأقوى الهيدرز وينصح بإستعماله بقوة
وظيفة هذا الهيدر هي تحديد مصدر أي محتوى على الموقع
سواء كان صورة او ملف css او js
زي الجمارك بالضبط !
يحمي من ثغرات أمنية مثل XSS و clickjacking و mixed content
Content Security Policy (CSP)
من اهم وأقوى الهيدرز وينصح بإستعماله بقوة
وظيفة هذا الهيدر هي تحديد مصدر أي محتوى على الموقع
سواء كان صورة او ملف css او js
زي الجمارك بالضبط !
يحمي من ثغرات أمنية مثل XSS و clickjacking و mixed content
7⃣
X-Frame-Options
وظيفة هذا الهيدر هي الحماية ضد هجمات clickjacking بشكل خاص
بحيث يمنع تحميل أي إطار iframes في اي موقع مشبوه بشكل كامل .
X-Frame-Options
وظيفة هذا الهيدر هي الحماية ضد هجمات clickjacking بشكل خاص
بحيث يمنع تحميل أي إطار iframes في اي موقع مشبوه بشكل كامل .
8⃣
و في هيدرز غيرها بترك لك حرية البحث والتعمق اكثر 😊
وطبعاً احنا قلنا يتم تطويرها من المتصفحات
ف أكيد بعض الهيدرز مو مدعومة في الإصدارات القديمه
وتقدر تكتب الهيدر في هذا الموقع وبيطلع المتصفحات الي تدعمه مع الإصدار
caniuse.com
بس اغلب الهيدرز مدعومة وامورها تمام
و في هيدرز غيرها بترك لك حرية البحث والتعمق اكثر 😊
وطبعاً احنا قلنا يتم تطويرها من المتصفحات
ف أكيد بعض الهيدرز مو مدعومة في الإصدارات القديمه
وتقدر تكتب الهيدر في هذا الموقع وبيطلع المتصفحات الي تدعمه مع الإصدار
caniuse.com
بس اغلب الهيدرز مدعومة وامورها تمام
9⃣
العجيب مع كل فوائدها ان طريقة تركيبها جداً سهله !
وطريقة التحقق منها في موقعك او أي موقع أسهل !
كمثال موقع الفحص :
securityheaders.com
أو
observatory.mozilla.org
رهيب مره يشجعك مع كل هيدر تركبه ويقولك وش بقى ناقص بنصيحة .
العجيب مع كل فوائدها ان طريقة تركيبها جداً سهله !
وطريقة التحقق منها في موقعك او أي موقع أسهل !
كمثال موقع الفحص :
securityheaders.com
أو
observatory.mozilla.org
رهيب مره يشجعك مع كل هيدر تركبه ويقولك وش بقى ناقص بنصيحة .
🔟
بالختام ؛ اشكركم على القراءة وآمل اني وفقت بالشرح وان أصبت فهو توفيق من الله وإن أخطأت فهو من الشيطان وشكراً لكم .
بالختام ؛ اشكركم على القراءة وآمل اني وفقت بالشرح وان أصبت فهو توفيق من الله وإن أخطأت فهو من الشيطان وشكراً لكم .
جاري تحميل الاقتراحات...