١١ مارس ٢٠٢٦5 دقائق قراءة
أربع رؤوس أمنية يجب أن يشحنها كل موقع في الإنتاج
يمكنك إضافتها اليوم في نشر واحد وإلغاء فئات كاملة من الهجمات. إليك الحد الأدنى القابل للتطبيق في 2026.
#تطوير ويب#أمن سيبراني#تصلّب
Content-Security-Policy
ابدأ في وضع التقرير فقط ثم فعّل التطبيق. default-src 'self' مع nonce للسكربتات المضمَّنة يمنع أغلب هجمات XSS من التنفيذ أصلًا.
Strict-Transport-Security
max-age=63072000; includeSubDomains; preload. حين تستقر على HTTPS في كل مكان، سجّل نطاقك في قائمة HSTS المسبقة، وستختفي هجمات التنزيل.
X-Content-Type-Options
nosniff. سطر واحد يمنع هجمات خلط الأنواع التي تحوّل رفع الصور إلى تنفيذ سكربت.
Referrer-Policy
strict-origin-when-cross-origin. يوقف تسريب معطيات حساسة من روابطك إلى منصات التحليل والإعلانات.
