Nagłówki HTTP i bezpieczeństwo strony (HSTS, CSP i inne)
10 lipca 2026 · 6 min czytania
Przy każdym otwarciu strony serwer wysyła zestaw nagłówków HTTP - metadanych, które sterują zachowaniem przeglądarki. Część z nich to nagłówki bezpieczeństwa: kilka linijek w konfiguracji serwera, które realnie chronią użytkowników przed popularnymi atakami. To jeden z najtańszych sposobów, by podnieść bezpieczeństwo serwisu.
Najważniejsze nagłówki bezpieczeństwa
- Strict-Transport-Security (HSTS) - wymusza HTTPS, chroni przed podsłuchem i przekierowaniem na wersję bez szyfrowania.
- Content-Security-Policy (CSP) - ogranicza, skąd mogą się ładować skrypty; kluczowy przeciw atakom XSS.
- X-Frame-Options - blokuje osadzanie strony w ramce (ochrona przed clickjackingiem).
- X-Content-Type-Options: nosniff - blokuje „zgadywanie" typu plików.
- Referrer-Policy - ogranicza wyciek adresu URL do innych witryn.
Jak sprawdzić swoją stronę?
Nie musisz analizować tego ręcznie. Nasza ocena nagłówków bezpieczeństwa pobiera nagłówki strony, sprawdza obecność każdego z ważnych i wystawia ocenę od A do F wraz z podpowiedziami, co poprawić. Jeśli wolisz zobaczyć wszystkie nagłówki i łańcuch przekierowań, użyj podglądu nagłówków HTTP.
Bezpieczeństwo to więcej niż nagłówki
Nagłówki działają w parze z ważnym certyfikatem SSL (HSTS ma sens tylko przy HTTPS). Warto też wiedzieć, na czym stoi Twoja strona - wykrywanie technologii pomoże ustalić, czy używany serwer i biblioteki są aktualne.