→ كل المقالات
١١ مارس ٢٠٢٦5 دقائق قراءة

أربع رؤوس أمنية يجب أن يشحنها كل موقع في الإنتاج

يمكنك إضافتها اليوم في نشر واحد وإلغاء فئات كاملة من الهجمات. إليك الحد الأدنى القابل للتطبيق في 2026.

#تطوير ويب#أمن سيبراني#تصلّب

Content-Security-Policy

ابدأ في وضع التقرير فقط ثم فعّل التطبيق. default-src 'self' مع nonce للسكربتات المضمَّنة يمنع أغلب هجمات XSS من التنفيذ أصلًا.

Strict-Transport-Security

max-age=63072000; includeSubDomains; preload. حين تستقر على HTTPS في كل مكان، سجّل نطاقك في قائمة HSTS المسبقة، وستختفي هجمات التنزيل.

X-Content-Type-Options

nosniff. سطر واحد يمنع هجمات خلط الأنواع التي تحوّل رفع الصور إلى تنفيذ سكربت.

Referrer-Policy

strict-origin-when-cross-origin. يوقف تسريب معطيات حساسة من روابطك إلى منصات التحليل والإعلانات.