HTTP saugumo antraštės - Versijų istorija

IV ModestasZ 14:10, 20 rugpjūčio 2025

2025-08-20T14:10:00Z

IV ModestasZ 13:17, 20 rugpjūčio 2025

2025-08-20T13:17:25Z

IV ModestasZ 13:00, 4 rugpjūčio 2025

2025-08-04T13:00:42Z

IV ModestasZ: /* Bendra informacija */

2025-08-04T11:11:30Z

‎Bendra informacija

IV ModestasZ: /* Bendra informacija */

2025-08-04T09:03:55Z

‎Bendra informacija

IV ModestasZ: /* Bendra informacija */

2025-08-04T08:19:46Z

‎Bendra informacija

Rodyti skirtumus

IV ModestasZ: /* Bendra informacija */

2025-08-04T08:12:17Z

‎Bendra informacija

IV ModestasZ 08:10, 4 rugpjūčio 2025

2025-08-04T08:10:33Z

IV VytenisG 11:48, 16 rugpjūčio 2020

2020-08-16T11:48:54Z

IV VytenisG: Naujas puslapis: TOC HTTP protokolas suteikia galimybę naudoti įvairių tipų antraštes norint apsaugoti svetainės bei jos lankytojų duomenų saugumą. Tam yra naudojamos Cache-control...

2020-07-24T10:47:38Z

Naujas puslapis: __TOC__ HTTP protokolas suteikia galimybę naudoti įvairių tipų antraštes norint apsaugoti svetainės bei jos lankytojų duomenų saugumą. Tam yra naudojamos Cache-control...

Naujas puslapis

__TOC__

HTTP protokolas suteikia galimybę naudoti įvairių tipų antraštes norint apsaugoti svetainės bei jos lankytojų duomenų saugumą. Tam yra naudojamos Cache-control Headers bei Security Headers. Naudojant HTTP antraštes naršyklės atsižvelgia į pateiktas taisykles ir jomis vadovaujasi užkraunant svetainės turinį bei saugant laikinuosius duomenis. Abiejų tipų antraštes rekomenduojame naudoti, nes:

* laikinosios atminties (HTTP Cache headers) antraštės padės apriboti naršyklėje saugomų duomenų kiekį bei atsinaujinimo periodiškumą.
* saugumo (HTTP Security headers) antraštės apsaugos Jūsų svetainę nuo turinio vagystės ar galimos atakos.

'''SVARBU:''' prieš naudojant, kurią nors iš antraščių, rekomenduojame ją visų pirmą išmėginti Jūsų testinėje svetainėje, nes svetainės veikimas gali būti sutrikdytas ir nesėkmės atveju lankytojai laikinai jos nepasieks.

===Bendra informacija===

Norėdami įjungti įvesti antraštes savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę. Jei naudojate turinio valdymo sistemą pvz. Wordpress Jums šį kodą reikės įterpti į dizaino temos "header.php" failą (kitose turinio valdymo sistemos failas gali būti kitoks):

<?php
header("Antraštės-pavadinimas-ir-naudojamos-reikšmės"");
?>

Jeigu Jūsų svetainė yra parašyta su '''HTML''' programiniu kodu, šis kodas turi būti aprašytas '''.htaccess''' faile. Naudojami tokie patys pagrindiniai parametrai, tačiau naudojama ir papildoma šiam failui reikalinga sintaksė, pavyzdžiui:

Header always set Antraštės-pavadinimas "naudojamos-reikšmės"

HSTS veikimui papildomai turi būti sukurtas automatinis peradresavimą į HTTPS protokolą. Peradresavimą į HTTPS esame aprašę kitoje savo [[Automatinis peradresavimas i HTTPS protokola|pamokoje]].

===Cache-control===

Šios antraštės naršyklėms nurodo duomenų saugojimo principą gaunamoms kliento užklausos bei serverio grąžinamam atsakymui iš HTTP protokolo pusės. Nurodyta taisyklės apibrėžia kaip turi būti saugoma laikinoji atmintis, kur gali būti saugoma bei kiek laiko turi būti saugoma. Standartinis įrašas gali atrodyti taip:

Cache-Control: private, max-age=0, no-cache"

'''Naudojamos reikšmės:'''
* '''private''' arba '''public'''. '''Public''' nurodo, kad visos laikinosios atminties saugojimas galimas net ir tada kai HTTP autorizacija ar HTTP atsakas nėra gaunamas. Šio parametro naudojimas nėra būtinas, nes ar turinys gali būti saugomas apibrėžia kitas parametras ''max-age'', kuris nurodo saugojimo laiką. '''Private''' naudojamas nurodant, kad privati informacija gali būti saugoma kliento naršyklėje, tačiau negali būti saugoma CDN (anbl. content distribution network) serveriuose.
* '''max-age''' - nurodomas ilgiausias laikas (sekundėmis) per kurį gali būti saugoma informacija ir naudojama pakartotinai nuo pirmo išsaugojimo.
* '''no-cache''' arba ''no-store''. Naudojant ''no-cache'' naršyklė kiekvienu atidarymu naršyklė papildomai patikrina ar nėra pasikeitųsi informacija. ''no-store'' nurodo, kad nebūtų saugoja jokia privati informacija nei tarpiniuose serveriuose nei naršyklėse. Kiekvieno prisijungimo metu ši informacija būna užkraunama iš naujo.
* '''must-revalidate''' - nurodo, kad kiekvieną kartą užkraunama informacija turi būti pakartotinai ratifikuojama, o pasenusio ratifikavimo informacija negali būti naudojama.
* '''immutable''' - atnaujinimas nebus atliekamas net jei lankytojas atliks puslapio perkrovimą (veikia ne su visomis naršyklėmis).

Daugiau '''Cache-Control''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control adresu]

===Expires===

Senesnio tipo atminties saugojimo metodas, kuris tiesiog apibrėžia laiką iki kada gali būti saugoma laikinoji atmintis. Dažniausiai veikia senesnėse neatnaujintose naršyklėse. Rekomenduojame naudoti ir Cache-Control ir Expires antraštę tam, kad atminties saugojimas veiktų visiems lankytojams. Antraštės pavyzdys:

Expires: Sun, 03 May 2021 23:02:37 GMT

Jeigu naudosite Cache-Control ir Expires vienu metu, rekomenduojame naudoti sutampančias reikšmės. Taip pat rekomenduotina, kad nebūtų abiejuose reikšmėse nebūtų nurodomas ilgesnis laikotarpis nei metai.

===HTTP Strict Transport Security (HSTS)===

Tai yra interneto svetainių saugumo mechanizmas, skirtas apsaugoti svetainę nuo duomenų nutekėjimo. Šis mechanizmas leidžia svetainei nurodyti, kad interneto naršyklės turi ją atidaryti tik saugiu HTTPS protokolu ir negali užmegzti susijungimo HTTP protokolu.

Svetainės savininkas HTTP antraščių pagalba gali nurodyti, kaip ateityje interneto naršyklėms reikėtų užmegzti ryšį su jo svetaine. Pavyzdžiui, nurodžius antraštę <code>Strict-Transport-Security: max-age=31536000</code> - tai reikš, kad ateinančias 31536000 sekundžių (365 dienas) visos naršyklės su svetaine ryšį turės užmegzti tik HTTPS protokolu.

Šio mechanizmo esminiai veikimo principai yra:
# Visos svetainės nuorodos priverstinai pakeičiamos į saugias, pavyzdžiui nuoroda <code><nowiki>http://mano-svetaine.lt/idomus-straipsnis.html</nowiki></code> bus pakeista į <code><nowiki>https://mano-svetaine.lt/idomus-straipsnis.html</nowiki></code> dar prieš pilnai užkraunant visą svetainę.
# Jei saugus susijungimas negali būti užmegztas (serveryje nėra įdiegtas SSL sertifikatas), tada pateikiamas klaidos pranešimas.
HSTS mechanizmas pilnai apsaugo nuo trečių šalių įsikišimo tarp lankytojo ir serverio.
Vienintelis minusas yra tai, kad interneto naršyklėse, per kurias lankytojai pirmą kartą atidarys atitinkamą interneto svetainę, pirmojo susijungimo metu dar gali būti bandoma svetainę pasiekti HTTP protokolu. Norint išspręsti šią problemą, galima įtraukti savo svetainę į specialų HSTS mechanizmą naudojančių svetainių sąrašą ([https://hstspreload.org/ hstspreload.org])

'''SVARBU''' - prieš išsaugodami HSTS parametrus įsitikinkite, kad domenas bei naudojami subdomenai palaiko HTTPS sertifikatą. HSTS parametrai po įvedimo svetainėje būna išsaugomi naršyklėje globaliai. Gali užtrukti kelis mėnesiui kol naršyklė atliks atnaujinimą ir priverstinai nebevykdys peradresavimo į HTTPS protokolą. Tol kol HSTS įrašas nebus pašalinamas iš naršyklės bus atliekamas priverstinį peradresavimas ir Jūsų svetainė nebus atvaizduojama.

Norėdami įjungti HSTS savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę. Jei naudojate turinio valdymo sistemą pvz. Wordpress Jums šį kodą reikės įterpti į dizaino temos "header.php" failą (kitose turinio valdymo sistemos failas gali būti kitoks):

Strict-Transport-Security:max-age=63072000; includeSubdomains; preload

'''Naudojamos reikšmės:'''
* '''max-age''' - leidžia nurodyti norimą laiką, "31536000" - 12 mėnesių arba "63072000" - 24 mėnesiai.
* '''includeSubdomains''' reiškia, kad ir visi subdomenai bus pasiekiami HTTPS prievadu.
* '''preload''' nurodykite, jei norite įtraukti svetainę į HSTS mechanizmą naudojančių svetainių sąrašą ([https://hstspreload.org/ hstspreload.org]).

Patikrinimui ar '''HSTS''' buvo įvestas sėkmingai, galite naudoti šią patikros formą: https://hstspreload.org/

===Content Security Policy (CSP)===

Šios antraštes svetainės programuotojui leidžia nurodyti, koks turinys gali būti pasiekiamas lankytojas taip uždraudžiant kito turinio pasiekiamumą. CSP padeda apsisaugoti nuo XSS ir kitų kodo įterpimo atakų. Nors naudojant šią antraštę nėra visiškai eliminuojama galimybę pasiekti šį turinį, tačiau tai tikrai apsunkina galima žalingo kodo sklaidą. Taisyklės pavyzdys:

Content-Security-Policy: <taisyklė>; <taisyklė>

'''Naudojamos reikšmės:'''
* '''img-src''' - nurodomi tinkami nuotraukų resursus;
* '''connect-src''' - apriboja URL adresus, kurie gali būti užkraunami naudojant skripto sąsajas;
* '''object-src''' - nurodo galimus resursus <object>, <embed> ir <applet> elementams;
* '''script-src''' - nurodo galimus resursus Javascript kodo naudojimui;
* '''base-uri''' - apriboja URL adresus, kurie gali būti naudojami dokumentų <base> elemente.

Žemiau pateikiame pavyzdį, kuriuo aprašoma, kad išjungiamas nesaugus ''eval'' elementas, galima užkrauti tik nuotraukas, skriptus ir pan. naudojant HTTPS protokolą:

// antraštė
Content-Security-Policy: default-src https:

// meta žymė
<meta http-equiv="Content-Security-Policy" content="default-src https:">

Daugiau pavyzdžių ir galimų reikšmių rasite šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy adresu].

===Cross Site Scripting Protection (X-XSS)===

Šio tipo antraštes padeda apsisaugoti konkrečiai nuo galimybės įterpti žalingą kodą į svetainės turinį matomą lankytojams. Šis tipas yra automatiškai įjungiamas Chrome, Internet Explorer ir Safari naršyklėse. Naudojant šią antraštę svetainė nėra užkraunama, jeigu pastebima galima ataka. Šis antraščių tipas nėra reikalingas naujesnio tipo naršyklėse kai jau būna naudojamos CSP antraštės, tačiau senesnio tipo naršyklėse rekomenduojame naudoti abu tipus. Antraštės pavyzdys:

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<informaciją-gausiantis-URI>

'''Naudojamos reikšmės:'''
* '''0''' - XSS filtravimas išjungtas;
* '''1''' - XSS filtravimas įjungtas (dažniausiai pagal nutylėjimą veikia daugumoje naršyklių). Nėra užkraunamas nesaugus turinys, kurį bandoma pažeisti;
* '''1; mode=block''' - XSS filtravimas įjungtas. Vietoje konkrečių dalių neužkrovimo yra visiškai išjungiamas turinio pateikimas.
* '''1; report=<informaciją-gausiantis-URI>''' - XSS filtravimas įjungtas. Jeigu pastebima ataka konkretus turinys nėra užkraunamas ir siunčiamas informavimas nurodytu adresu. Tam, kad informavimas būtų siunčiamas turi būti naudojama CSP antraštė su ''report-uri'' reikšme.

Daugiau panaudojimo pavyzdžių rasite šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection adresu].

===X-Frame-Options===

Šio tipo antraštė apsaugo nuo [https://en.wikipedia.org/wiki/Clickjacking click-jacking] atakų, kurių metu lankytojui yra pateikiamas langas su prašymu atlikti kokį nors pasirinkimą, kuris atlieka kitokią reikšmę nei yra vizualiai atvaizduojama. Nors seniau šios atakos buvo itin dažnos ir dabar jų pastebima vis mažiau, tačiau tokios atakos grėsmė vis dar išlieka. Tokios atakos pavyzdys gali būti prašymas suvesti prisijungimo duomenis apsimetant kitu puslapiu ir pavogiant asmens prisijungimo duomenis prie kurios nors sistemos. Ši antraštė draudžia įterpti kitą turinį į <frame>, <iframe>, <embed> ar <object> elementus. Naudojama sintaksė:

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://domenas.lt/

'''Naudojamos reikšmės:'''
* '''DENY''' - draudžiamas turinio atvaizdvimas per ''frame'' elementą. Draudžiamas užkrovimas tiek naudojant vidinius resursus, tiek išorinius.
* '''SAMEORIGIN'''- gali būti naudojamas frame elementas tik pasitelkiant vidinius resursus. Tačiau ši reikšmė nėra itin naudinga, jei elementas užkraunamas dalinai iš vidinių resursų, dalinai iš išorinių.
* '''ALLOW-FROM https://domenas.lt/''' - nurodoma, kurios svetainės turinys gali būti naudojamas ''frame'' elemente. Vietoje šios reikšmės galite naudoti CSP antraštę su ''frame-ancestors'' reikšme.

Daugiau '''X-Frame-Options''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options adresu]

===X-Content-Type-Options===

Šio tipo antraštė yra naudojama norint apsisaugoti nuo [https://en.wikipedia.org/wiki/Content_sniffing MIME sniffing] atakų. Šių atakų metu yra tikrinamas svetainių turinys ir ieškomos galimos saugumo spragos, naudojamo turinio neatitikimai ar kita informacija galinti padėti įsilaužti į svetainę. Šios atakos taip pat būna naudojamos kodo įterpimo atakoms įgyvendinti. Naudojant X-Content-Type-Options antraštę MIME tipai yra slepiami naršyklės ir viešai nepateikiami. Saugumo antraštės sintaksė:

X-Content-Type-Options: nosniff

Naudojant '''nosniff''' reikšmę yra blokuojamos užklausos, jeigu užklausos paskirties reikšmės yra:
* '''style''' ir MIME tipai nėra '''text/css''';
* '''script''' ir MIME tipai nėra JavaScript;
bei įjungiamas CORB režimas MIME tipams:
* '''text/html''';
* '''text/plain''';
* '''text/json''', '''application/json''' ar betkokie kiti JSON plėtyniai;
* '''text/xml''', '''application/xml''' ar kiti XML plėtiniai (išskyrus '''image/svg+xml''').

Daugiau '''X-Frame-Options''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options adresu]

===Set-Cookie===

Šio tipo antraštė užtikrina, kad laikinieji duomenys ''cookies'' būtų siunčiami naudojant HTTPS protokolą t.y. kad duomenys būtų šifruojami. Taip pat naudojant šią antraštę šie duomenys nebus pasiekiami naudojant JavaScript duomenų tipą. Svetainė turi veikti su HTTPS protokolu tam, kad šis tipas veiktų. Naudojamos sintaksės pavyzdys:

Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly

'''Naudojamos reikšmės:'''
* '''<cookie-name>''' - gali būti naudojamos US-ASCII reikšmės išskyrus tarpus, papildomus simbolius ir pan.
* '''<cookie-value>''' - gali būti naudojamas US-ASCII bei visi kiti simboliai išskyrus dvigubos kabutės, kabliataškį, pasvirusį brūksšnį ir pan.
* '''Secure ir "HttpOnly''' rekomenduojame naudoti visada.

Daugiau '''Set-Cookie''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie adresu]

@@ 94 eilutė: / 94 eilutė: @@
 '''Naudojamos reikšmės:'''
-*'''img-src''' - nurodomi tinkami nuotraukų resursus. Pvz.: ''Content-Security-Policy: img-src 'self' <nowiki>https://kitas-domenas.lt</nowiki> data:;''  Paaiškinimas:  ''<nowiki/>'self''' - leidžia užkrauti paveikslėlius iš savo domeno;  ''<nowiki>https://kitas-domenas.lt</nowiki>'' - leidžia užkrauti paveikslėlius iš kitos svetainės;  ''data:'' - leidžia base64 koduotės nuotraukas.
+*'''''img-src -''''' ''nurodomi tinkami nuotraukų resursus. ''
-*'''connect-src''' - apriboja URL adresus, kurie gali būti užkraunami naudojant skripto sąsajas (pvz.: AJAX (XHR, fetch), WebSocket, EventSource). Pvz.: ''Content-Security-Policy: connect-src 'self' <nowiki>https://kitas-domenas.lt</nowiki> <nowiki>https://api.kitas-domenas.lt</nowiki>;''  Paaiškinimas: leidžia tik savo domeną, kitas-domenas.lt domeną bei subdomeną api.kitas-domenas.lt.
-*'''object-src''' - nurodo galimus resursus <object>, <embed> ir <applet> elementams. Rekomenduojama visada drausti, nes tai pasenęs ir pavojingas funkcionalumas. Draudimui taisyklė: ''Content-Security-Policy: object-src 'none';''
+'''Pvz.: '''Content-Security-Policy: img-src 'self' <nowiki>https://kitas-domenas.lt</nowiki> data:;
-*'''script-src''' - nurodo galimus resursus Javascript kodo naudojimui. Pvz.: Content-Security-Policy: script-src 'self' <nowiki>https://cdn.example.com</nowiki> 'sha256-abc123...';  Paaiškinimas:  ''<nowiki/>'self'<nowiki/>'' - leidžia JS tik iš savo domeno;  <nowiki>https://cdn.example.com</nowiki> → leidžia iš CDN;  ''<nowiki/>'sha256-...''' - leidžia inline script, bet tik su konkrečiu kodavimu (hash), saugus variantas vietoje ''taisyklės: unsafe-inline'' naudojimo.
-*'''base-uri''' - apriboja URL adresus, kurie gali būti naudojami dokumentų <base> elemente.Tai padeda apsisaugoti nuo ''phishing'' tipo atakų, kur <base> gali pakeisti svetainės turinio užkrovimo šaltinį (pvz.: įterpiant nuorodą, kuri svetainėje būtų užkraunama iš trečiųjų šalių svetainės domeno ar subdomeno). Pvz.: ''Content-Security-Policy: base-uri 'self';'' - tai reiškia, kad dokumente <base> gali būti naudojamas tik Jūsų domenas.
+Paaiškinima'''<nowiki/>'''s:
 Žemiau pateikiame pavyzdį, kuriuo aprašoma, kad išjungiamas nesaugus ''eval'' elementas, galima užkrauti tik nuotraukas, skriptus ir pan. naudojant HTTPS protokolą:
   // antraštė
   Content-Security-Policy: default-src https:
@@ 159 eilutė: / 202 eilutė: @@
 *'''<cookie-value>''' - gali būti naudojamas US-ASCII bei visi kiti simboliai išskyrus dvigubos kabutės, kabliataškį, pasvirusį brūkšnį ir pan.
 *'''Secure ir "HttpOnly''' rekomenduojame naudoti visada.
-*'''SameSite''' - galimos reikšmės: ''Strict'', ''Lax'' arba ''None'' (tada būtina naudoti kartu ir "Secure;" taisyklę).   Paaiškinimas:  ''Strict'' - saugiausias, kadangi slapukai siunčiami tik tada, kai vartotojas atidaro svetainę (įveda svetainės adresą). Rekomenduojama naudoti paprastoms, reprezentacinėse svetainėse, kurios neturi papildomų prisijungimo, registracijų formų.  ''Lax -'' tarpinis pasirinkimas, šiuo atveju slapukas siunčiamas per GET metodą iš kitų svetainių (pvz., vartotojui paspaudus nuorodą į jūsų svetainę). Tinka naudoti svetainėse, kuriose veikia prisijungimų formos.  ''None'' - šiuo atveju slapukai bus siunčiami visada (privaloma nurodyti taisyklę "Secure;"). Aktualu naudoti tuo atveju, jei svetainėje naudojama trečiųjų šalių integracijos, pvz., prisijungimas į svetainę su "Google", "Facebook" ar kitomis paskyromis.
+*'''SameSite''' - galimos reikšmės: ''Strict'', ''Lax'' arba ''None'' (tada būtina naudoti kartu ir "Secure;" taisyklę).
 Daugiau '''Set-Cookie''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie adresu]

@@ 16 eilutė: / 16 eilutė: @@
   <?php
-   header("Strict-Transport-Security:max-age=63072000; includeSubdomains; preload");
+   header("Antraštės-pavadinimas-ir-naudojamos-reikšmės");
   ?>
-Jei naudojate turinio valdymo sistemą, pvz. "Wordpress", Jums reikės koreguoti dizaino temos "functions.php" failą (kelias iki failo: ''domains/<jusu_domenas.lt>/public_html/wp-content/themes/<temos_pavadinimas>/functions.php''), pačioje apačioje pridedant tokį kodą:
+Jei naudojate turinio valdymo sistemą, pvz. "Wordpress", Jums reikės koreguoti dizaino temos "functions.php" failą (''domains/<jusu_domenas.lt>/public_html/wp-content/themes/<temos_pavadinimas>/functions.php''), jo apačioje pridedant žemiau nurodytą kodą ir jame įterpiant norimą antraštę, pvz.:
   add_action('send_headers', 'security_headers');
   function security_headers() {
-      header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload");
+      header("Antraštės-pavadinimas-ir-naudojamos-reikšmės");
+  }
@@ 75 eilutė: / 75 eilutė: @@
 '''SVARBU''' - prieš išsaugodami HSTS parametrus įsitikinkite, kad domenas bei naudojami subdomenai palaiko HTTPS sertifikatą. HSTS parametrai po įvedimo svetainėje būna išsaugomi naršyklėje globaliai. Gali užtrukti kelis mėnesiui kol naršyklė atliks atnaujinimą ir priverstinai nebevykdys peradresavimo į HTTPS protokolą. Tol kol HSTS įrašas nebus pašalinamas iš naršyklės bus atliekamas priverstinį peradresavimas ir Jūsų svetainė nebus atvaizduojama.
   Strict-Transport-Security:max-age=63072000; includeSubdomains; preload

@@ 13 eilutė: / 13 eilutė: @@
 ===Bendra informacija===
-Norėdami įjungti įvesti antraštes savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę. Jei naudojate turinio valdymo sistemą, pvz. "Wordpress", Jums kodą reikės įterpti į naudojamos dizaino temos failą "functions.php" (kitose turinio valdymo sistemos failas gali būti kitoks). Kelias iki minėtojo failo:
+Norėdami įjungti HSTS savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę:
-''domains/<jusu_domenas.lt>/public_html/wp-content/themes/<temos_pavadinimas>/functions.php''
+ <?php
-Minėtame faile reikėtų surasti kodo dalį kuri prasideda "add_action", pvz.:
+Jei naudojate turinio valdymo sistemą, pvz. "Wordpress", Jums reikės koreguoti dizaino temos "functions.php" failą (kelias iki failo: ''domains/<jusu_domenas.lt>/public_html/wp-content/themes/<temos_pavadinimas>/functions.php''), pačioje apačioje pridedant tokį kodą:
- add_action( 'after_setup_theme', 'twentytwentyfive_post_format_setup' );
+  add_action('send_headers', 'security_headers');
+  function security_headers() {
-ir po tokio kodo pabaiga įterpkite naują kodą, kurį naudosite antraštėms, pvz:
+      header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload");
+  }
-Paprastesniam saugumo antraščių įterpimui galite naudoti tam skirtus įskiepius (angl. Plugin). "Worpdress" atveju, pvz.: Headers Security Advanced & HSTS WP.
+Kitu atveju galite naudoti tam skirtus "Worpdress" įskiepius, pvz.: Headers Security Advanced & HSTS WP.
 Jeigu Jūsų svetainė yra parašyta su '''HTML''' programiniu kodu, šis kodas turi būti aprašytas '''.htaccess''' faile. Naudojami tokie patys pagrindiniai parametrai, tačiau naudojama ir papildoma šiam failui reikalinga sintaksė, pavyzdžiui:

@@ 13 eilutė: / 13 eilutė: @@
 ===Bendra informacija===
-Norėdami įjungti įvesti antraštes savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę. Jei naudojate turinio valdymo sistemą pvz. "Wordpress" Jums kodą reikės įterpti į "functions.php" failą (kitose turinio valdymo sistemos failas gali būti kitoks). Kitu atveju galite naudoti tam jau pritaikytus įskiepius, pvz., "Wordpress" atveju: Headers Security Advanced & HSTS WP, plačiau: https://wordpress.org/plugins/search/hsts/
+Norėdami įjungti įvesti antraštes savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę. Jei naudojate turinio valdymo sistemą, pvz. "Wordpress", Jums kodą reikės įterpti į naudojamos dizaino temos failą "functions.php" (kitose turinio valdymo sistemos failas gali būti kitoks). Kelias iki minėtojo failo:
-Kodo pavyzdys:
+''domains/<jusu_domenas.lt>/public_html/wp-content/themes/<temos_pavadinimas>/functions.php''
- <?php
+Minėtame faile reikėtų surasti kodo dalį kuri prasideda "add_action", pvz.:
-Šioje pamokoje naudojamų saugumo antraščių PHP kodo pavyzdys:
+ add_action( 'after_setup_theme', 'twentytwentyfive_post_format_setup' );
- <?php
+ir po tokio kodo pabaiga įterpkite naują kodą, kurį naudosite antraštėms, pvz:
-Patikrinimui, ar svetainėje įterptos antraštės yra sėkmingai matomos, galite naudoti įrankį: '''[https://securityheaders.com/ securityheaders.com]'''. Naudojant pateiktą PHP kodo pavyzdį, būtų matomas rezultatas:
+ add_action('send_headers', 'add_security_headers');
+ function add_security_headers() {
-[[Vaizdas:HSTS-antrastes-rezultatas.png|700px]]
+     header("Pirmos-antraštės-pavadinimas-ir-naudojamos-reikšmės"");
 Jeigu Jūsų svetainė yra parašyta su '''HTML''' programiniu kodu, šis kodas turi būti aprašytas '''.htaccess''' faile. Naudojami tokie patys pagrindiniai parametrai, tačiau naudojama ir papildoma šiam failui reikalinga sintaksė, pavyzdžiui:

@@ 19 eilutė: / 19 eilutė: @@
   ?>
-Pamokoje naudojamų antraščių PHP kodo pavyzdys:
+Šioje pamokoje naudojamų saugumo antraščių PHP kodo pavyzdys:
   <?php
@@ 33 eilutė: / 33 eilutė: @@
   ?>
-Patikrinimui, ar svetainėje įterptos antraštės yra sėkmingai matomos, galite naudoti įrankį: ''[https://securityheaders.com/ securityheaders.com]''. Naudojant pateiktą PHP kodo pavyzdį, nurodomas rezultatas būtų:
+Patikrinimui, ar svetainėje įterptos antraštės yra sėkmingai matomos, galite naudoti įrankį: '''[https://securityheaders.com/ securityheaders.com]'''. Naudojant pateiktą PHP kodo pavyzdį, būtų matomas rezultatas:
 [[Vaizdas:HSTS-antrastes-rezultatas.png|700px]]

@@ 38 eilutė: / 38 eilutė: @@
 Šios antraštės naršyklėms nurodo duomenų saugojimo principą gaunamoms kliento užklausos bei serverio grąžinamam atsakymui iš HTTP protokolo pusės. Nurodyta taisyklės apibrėžia kaip turi būti saugoma laikinoji atmintis, kur gali būti saugoma bei kiek laiko turi būti saugoma. Standartinis įrašas gali atrodyti taip:
-  Cache-Control: private, max-age=0, no-cache"
+  Cache-Control: private, max-age=0, no-cache
 '''Naudojamos reikšmės:'''
@@ 49 eilutė: / 49 eilutė: @@
 Daugiau '''Cache-Control''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control adresu]
 ===Expires===
@@ 55 eilutė: / 54 eilutė: @@
 Senesnio tipo atminties saugojimo metodas, kuris tiesiog apibrėžia laiką iki kada gali būti saugoma laikinoji atmintis. Dažniausiai veikia senesnėse neatnaujintose naršyklėse. Rekomenduojame naudoti ir Cache-Control ir Expires antraštę tam, kad atminties saugojimas veiktų visiems lankytojams. Antraštės pavyzdys:
-  Expires: Sun, 03 May 2021 23:02:37 GMT
+  Expires: Sun, 01 April 2026 23:02:37 GMT
 Jeigu naudosite Cache-Control ir Expires vienu metu, rekomenduojame naudoti sutampančias reikšmės. Taip pat rekomenduotina, kad nebūtų abiejuose reikšmėse nebūtų nurodomas ilgesnis laikotarpis nei metai.
@@ 76 eilutė: / 75 eilutė: @@
 '''SVARBU''' - prieš išsaugodami HSTS parametrus įsitikinkite, kad domenas bei naudojami subdomenai palaiko HTTPS sertifikatą. HSTS parametrai po įvedimo svetainėje būna išsaugomi naršyklėje globaliai. Gali užtrukti kelis mėnesiui kol naršyklė atliks atnaujinimą ir priverstinai nebevykdys peradresavimo į HTTPS protokolą. Tol kol HSTS įrašas nebus pašalinamas iš naršyklės bus atliekamas priverstinį peradresavimas ir Jūsų svetainė nebus atvaizduojama.
-  Strict-Transport-Security:max-age=63072000; includeSubdomains; preload
+  Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
 '''Naudojamos reikšmės:'''
@@ 95 eilutė: / 94 eilutė: @@
 '''Naudojamos reikšmės:'''
-*'''img-src''' - nurodomi tinkami nuotraukų resursus;
+*'''img-src''' - nurodomi tinkami nuotraukų resursus. Pvz.: ''Content-Security-Policy: img-src 'self' <nowiki>https://kitas-domenas.lt</nowiki> data:;''  Paaiškinimas:  ''<nowiki/>'self''' - leidžia užkrauti paveikslėlius iš savo domeno;  ''<nowiki>https://kitas-domenas.lt</nowiki>'' - leidžia užkrauti paveikslėlius iš kitos svetainės;  ''data:'' - leidžia base64 koduotės nuotraukas.
-*'''connect-src''' - apriboja URL adresus, kurie gali būti užkraunami naudojant skripto sąsajas;
+*'''connect-src''' - apriboja URL adresus, kurie gali būti užkraunami naudojant skripto sąsajas (pvz.: AJAX (XHR, fetch), WebSocket, EventSource). Pvz.: ''Content-Security-Policy: connect-src 'self' <nowiki>https://kitas-domenas.lt</nowiki> <nowiki>https://api.kitas-domenas.lt</nowiki>;''  Paaiškinimas: leidžia tik savo domeną, kitas-domenas.lt domeną bei subdomeną api.kitas-domenas.lt.
-*'''object-src''' - nurodo galimus resursus <object>, <embed> ir <applet> elementams;
+*'''object-src''' - nurodo galimus resursus <object>, <embed> ir <applet> elementams. Rekomenduojama visada drausti, nes tai pasenęs ir pavojingas funkcionalumas. Draudimui taisyklė: ''Content-Security-Policy: object-src 'none';''
-*'''script-src''' - nurodo galimus resursus Javascript kodo naudojimui;
+*'''script-src''' - nurodo galimus resursus Javascript kodo naudojimui. Pvz.: Content-Security-Policy: script-src 'self' <nowiki>https://cdn.example.com</nowiki> 'sha256-abc123...';  Paaiškinimas:  ''<nowiki/>'self'<nowiki/>'' - leidžia JS tik iš savo domeno;  <nowiki>https://cdn.example.com</nowiki> → leidžia iš CDN;  ''<nowiki/>'sha256-...''' - leidžia inline script, bet tik su konkrečiu kodavimu (hash), saugus variantas vietoje ''taisyklės: unsafe-inline'' naudojimo.
-*'''base-uri''' - apriboja URL adresus, kurie gali būti naudojami dokumentų <base> elemente.
+*'''base-uri''' - apriboja URL adresus, kurie gali būti naudojami dokumentų <base> elemente.Tai padeda apsisaugoti nuo ''phishing'' tipo atakų, kur <base> gali pakeisti svetainės turinio užkrovimo šaltinį (pvz.: įterpiant nuorodą, kuri svetainėje būtų užkraunama iš trečiųjų šalių svetainės domeno ar subdomeno). Pvz.: ''Content-Security-Policy: base-uri 'self';'' - tai reiškia, kad dokumente <base> gali būti naudojamas tik Jūsų domenas.
 Žemiau pateikiame pavyzdį, kuriuo aprašoma, kad išjungiamas nesaugus ''eval'' elementas, galima užkrauti tik nuotraukas, skriptus ir pan. naudojant HTTPS protokolą:
@@ 110 eilutė: / 109 eilutė: @@
 Daugiau pavyzdžių ir galimų reikšmių rasite šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy adresu].
 ===X-Frame-Options===
-Šio tipo antraštė apsaugo nuo [https://en.wikipedia.org/wiki/Clickjacking click-jacking] atakų, kurių metu lankytojui yra pateikiamas langas su prašymu atlikti kokį nors pasirinkimą, kuris atlieka kitokią reikšmę nei yra vizualiai atvaizduojama. Nors seniau šios atakos buvo itin dažnos ir dabar jų pastebima vis mažiau, tačiau tokios atakos grėsmė vis dar išlieka. Tokios atakos pavyzdys gali būti prašymas suvesti prisijungimo duomenis apsimetant kitu puslapiu ir pavogiant asmens prisijungimo duomenis prie kurios nors sistemos. Ši antraštė draudžia įterpti kitą turinį į  <frame>, <iframe>, <embed> ar <object> elementus. Naudojama sintaksė:
+Tai yra senesnio tipo antraštė (dauguma naršyklių jau nepalaiko), kuri apsaugo nuo [https://en.wikipedia.org/wiki/Clickjacking click-jacking] atakų, kurių metu lankytojui yra pateikiamas langas su prašymu atlikti kokį nors pasirinkimą, kuris atlieka kitokią reikšmę nei yra vizualiai atvaizduojama. Nors seniau šios atakos buvo itin dažnos ir dabar jų pastebima vis mažiau, tačiau tokios atakos grėsmė vis dar išlieka. Tokios atakos pavyzdys gali būti prašymas suvesti prisijungimo duomenis apsimetant kitu puslapiu ir pavagiant asmens prisijungimo duomenis prie kurios nors sistemos. Ši antraštė draudžia įterpti kitą turinį į  <frame>, <iframe>, <embed> ar <object> elementus. Naudojama sintaksė:
   X-Frame-Options: DENY
   X-Frame-Options: SAMEORIGIN
 '''Naudojamos reikšmės:'''
@@ 143 eilutė: / 121 eilutė: @@
 *'''DENY''' - draudžiamas turinio atvaizdvimas per ''frame'' elementą. Draudžiamas užkrovimas tiek naudojant vidinius resursus, tiek išorinius.
 *'''SAMEORIGIN'''- gali būti naudojamas frame elementas tik pasitelkiant vidinius resursus. Tačiau ši reikšmė nėra itin naudinga, jei elementas užkraunamas dalinai iš vidinių resursų, dalinai iš išorinių.
-Daugiau '''X-Frame-Options''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options adresu]
+Daugiau '''X-Frame-Options''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options adresu].
 ===X-Content-Type-Options===
@@ 173 eilutė: / 152 eilutė: @@
 Šio tipo antraštė užtikrina, kad laikinieji duomenys ''cookies'' būtų siunčiami naudojant HTTPS protokolą t.y. kad duomenys būtų šifruojami. Taip pat naudojant šią antraštę šie duomenys nebus pasiekiami naudojant JavaScript duomenų tipą. Svetainė turi veikti su HTTPS protokolu tam, kad šis tipas veiktų. Naudojamos sintaksės pavyzdys:
-  Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
+  Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly; SameSite=Strict
 '''Naudojamos reikšmės:'''
 *'''<cookie-name>''' - gali būti naudojamos US-ASCII reikšmės išskyrus tarpus, papildomus simbolius ir pan.
-*'''<cookie-value>''' - gali būti naudojamas US-ASCII bei visi kiti simboliai išskyrus dvigubos kabutės, kabliataškį, pasvirusį brūksšnį ir pan.
+*'''<cookie-value>''' - gali būti naudojamas US-ASCII bei visi kiti simboliai išskyrus dvigubos kabutės, kabliataškį, pasvirusį brūkšnį ir pan.
 *'''Secure ir "HttpOnly''' rekomenduojame naudoti visada.
 Daugiau '''Set-Cookie''' naudojamų reikšmių galite rasti šiuo [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie adresu]

← Ankstesnė versija		11:48, 16 rugpjūčio 2020 versija
7 eilutė:		7 eilutė:

	'''SVARBU:''' prieš naudojant, kurią nors iš antraščių, rekomenduojame ją visų pirmą išmėginti Jūsų testinėje svetainėje, nes svetainės veikimas gali būti sutrikdytas ir nesėkmės atveju lankytojai laikinai jos nepasieks.		'''SVARBU:''' prieš naudojant, kurią nors iš antraščių, rekomenduojame ją visų pirmą išmėginti Jūsų testinėje svetainėje, nes svetainės veikimas gali būti sutrikdytas ir nesėkmės atveju lankytojai laikinai jos nepasieks.
		+
		+	Visi pavyzdžiai tinkami serveriams, kurie naudoja Apache web tarnybą bei PHP programavimo kalbą.

HTTP saugumo antraštės - Versijų istorija

IV ModestasZ 14:10, 20 rugpjūčio 2025

IV ModestasZ 13:17, 20 rugpjūčio 2025

IV ModestasZ 13:00, 4 rugpjūčio 2025

IV ModestasZ: /* Bendra informacija */

IV ModestasZ: /* Bendra informacija */

IV ModestasZ: /* Bendra informacija */

IV ModestasZ: /* Bendra informacija */

IV ModestasZ 08:10, 4 rugpjūčio 2025

IV VytenisG 11:48, 16 rugpjūčio 2020

IV VytenisG: Naujas puslapis: __TOC__ HTTP protokolas suteikia galimybę naudoti įvairių tipų antraštes norint apsaugoti svetainės bei jos lankytojų duomenų saugumą. Tam yra naudojamos Cache-control...

IV VytenisG: Naujas puslapis: TOC HTTP protokolas suteikia galimybę naudoti įvairių tipų antraštes norint apsaugoti svetainės bei jos lankytojų duomenų saugumą. Tam yra naudojamos Cache-control...