Заголовки HTTP

Существуют сотни различных видов заголовков. В этой проверки мы проверяем следующие:

Указывать кодировку для HTML документов. Без этого браузеры могут отобразить страницу некорректно.
Воздержаться от заголовка Link. Лучше использовать метатеги-аналоги. Ими проще управлять. Исключение составляют текстовые файлы форматов PDF, DJVU ит.д. содержимое которых индексируется поисковыми системами. У них отсутствует возможность использовать HTML тег для указания разных языковых версий.
Удалите устаревшие заголовки Public-Key-Pins, Expect-CT, X-XSS-Protection.
Заголовки X-Frame-Options, Content-Security-Policy используйте только для HTML страниц.
Заголовок X-Content-Type-Options используйте только для HTML, XML, CSS, JavaScrit ссылок.
Для кук передавайте флаг Secure.

Замечание: у веб-сервера Apache удалить заголовок Server невозможно, только сделать его пустым. Для этого надо добавить/изменить в файле /etc/apache2/conf-available/security.conf следующие директивы:

ServerTokens Prod
ServerSignature Off
SecServerSignature " "

◀ IPv6 соединение Ошибочное расширение картинок ▶

Есть замечания или дополнения? Напишите нам на почту admin@site-alarm.com.

Проверьте ваш сайт