Security Headers là một trong những yếu tố rất hay bị bỏ qua trong kiểm toán website. Một số ý kiến cho rằng, việc bảo mật website không phải là vấn đề liên quan đến SEO. Tuy nhiên, chúng thực sự trở thành mối lo ngại khi một website bị hacker tấn công và lưu lượng truy cập giảm dần về 0. Vì vậy, Security Headers phải là mối quan tâm hàng đầu đối với bất cứ ai đăng tải nội dung lên Internet. Vậy, Security Headers là gì? Cùng KingNCT tìm hiểu tầm quan trọng của Security Headers đối với SEO và 5 Security Headers tốt cho SEO mà bạn cần phải biết. Xem ngay nhé!
Security Headers là gì?
Security Headers là các chỉ thị mà trình duyệt buộc phải tuân thủ thông qua HTTP Response. Một HTTP Header tức là một phản hồi của máy chủ đối với một trình duyệt đang cố truy cập vào website. Hiểu một cách đơn giản, Security Headers là gì? – HTTP Security Headers là một phần cơ bản của bảo mật website, cung cấp các chỉ thị bảo mật nhằm chống lại các cuộc tấn công mà trang web có nguy cơ cao gặp phải.
Ví dụ: Bạn có thể tải font chữ từ Google về, nhưng không nên tin tưởng vào bất kỳ dữ liệu nào khác bên ngoài miền của website.
Trong đó, chỉ thị bảo mật là phần đã thông báo cho trình duyệt rằng bạn có thể tải font chữ từ Google về, nhưng không nên tin tưởng vào bất kỳ dữ liệu nào khác bên ngoài miền của website. Một chỉ thị bảo mật như vậy sẽ giúp chặn trình duyệt tải xuống các tệp độc hại từ các website khác.
Security Headers là gì?
Tại sao nên sử dụng Security Headers
Từ khái niệm Security Headers là gì, ta có thể thấy mục đích sử dụng của Security Headers là chặn trình duyệt tải xuống những tệp độc hại từ các website khác. Với Security Headers, phần mềm bot tự động sẽ liên tục thăm dò và kiểm tra các website nhằm tìm kiếm các điểm yếu về bảo mật.
Những lỗ hổng đó có thể được tạo ra bởi hệ thống quản lý nội dung, thư viện JavaScript sử dụng nhằm thêm chức năng, hoặc các điểm yếu bảo mật tạo ra do các thiết bị cắm vào. Các trang web sử dụng Security Headers sẽ an toàn hơn rất nhiều trước những mối đe dọa về bảo mật đó.
Dù các trang web có thể không sử dụng Security Headers mà thay vào đó là cập nhật thường xuyên và sử dụng các plugins bảo mật. Thế nhưng, cách này sẽ khiến cho chính trang web và người truy cập trang gặp những rủi ro bảo mật không đáng có.
Ví dụ: Security Plugin không thể ngăn chặn quảng cáo rác cướp đi doanh thu quảng cáo của chủ sở hữu website.
Vậy, lý do tốt nhất để sử dụng Security Headers là gì? Vì chúng tương đối dễ thực hiện và đảm bảo website tiếp tục chạy bình thường.
TOP 5 Security Headers tốt cho SEO
1. Content-Security-Policy (CSP)
Một CSP giúp bảo vệ website và người truy cập website khỏi các cuộc tấn công Cross Site Scripting và các cuộc tấn công dữ liệu độc hại.
XSS xảy ra khi tin tặc lợi dụng những lỗ hổng bảo mật để tải các tệp độc hại trên website, sau đó các tệp độc hại này được tải xuống trình duyệt của nạn nhân. Các cuộc tấn công Cross-Site Scripting lợi dụng các lỗ hổng trong hệ thống quản lý nội dung, cho phép đưa các dữ liệu không mong muốn vào vì không đủ khả năng làm sạch và quét tệp đầu vào của người dùng.
Ví dụ: Theo lẽ thường, một biểu mẫu email phải được mã hóa để mong chờ một dữ liệu đầu vào bị hạn chế.
Một website được mã hóa kém có thể cho phép một số dữ liệu đầu vào khác, sau đó rất có thể dẫn đến việc đưa vào các tệp độc hại. Một cuộc tấn công Cross-Site Scripting thường được dùng để đánh cắp mật khẩu hoặc là một phần của cuộc tấn công mạng lớn sau đó.
Tấn công dữ liệu độc hại là một rủi ro bảo mật nghiêm trọng – theo như The Open Web Application Security Project (OWASP) miêu tả. Bản thân CSP không thể bảo vệ 100% các website khỏi các cuộc tấn công mạng nhưng nó giúp giảm tối thiểu khả năng xảy ra các cuộc tấn công Cross-Site Scripting.
Một Content-Security-Policy header có thể đưa ra chỉ dẫn cho trình duyệt chỉ tải tệp xuống từ một nhóm miền đã đặt sẵn và chỉ từ những miền đó mà thôi. Bất cứ kẻ tấn công nào đang tải xuống các tập lệnh độc hại từ 01 máy chủ khác bên ngoài nhóm đáng tin cậy đó sẽ bị chặn.
Việc tạo chính sách bảo mật nội dung có thể linh động hoặc nghiêm ngặt như nhà phát hành yêu cầu.
CSP sẽ bảo vệ người truy cập, website khỏi cuộc tấn công của XSS và dữ liệu độc hại
2. Strict-Transport-Security Header (HSTS)
Strict-Transport-Security Header còn được biết đến với tên gọi là HTTP Strict Transport Security Header (HSTS). Nhiều trang web hiện nay chỉ có chuyển hướng từ 301 từ HTTP sang HTTPS. Thế nhưng, như thế là không đủ cho sự an toàn của trang web vì website vẫn dễ bị tấn công trung gian. HSTS giúp chặn kẻ tấn công thực hiện kết nối HTTPS sang kết nối HTTP, và từ đó cho phép kẻ tấn công tận dụng các chuyển hướng không an toàn.
Ví dụ: Nếu ai đó nhập example.com để truy cập một website mà không nhập vào phần https (hoặc người đó chỉ gõ http theo thói quen), thì cơ hội cho 1 cuộc tấn công trung gian là hoàn toàn có thể.
Kiểu tấn công này có thể gây hại đến người truy cập website. Bất kỳ thông tin nhạy cảm nào được trao đổi giữa người truy cập website và website thì cũng có nguy cơ hiển thị với kẻ tấn công.
Ví dụ: Kẻ tấn công có thể ngăn chặn các cookies có chứa thông tin nhạy cảm như là thông tin đăng nhập.
Chính phủ Hoa Kỳ đã đưa ra 3 trường hợp HTTPS có thể bị hạ cấp xuống HTTP, từ đó kẻ tấn công có thể xâm phạm bảo mật:
- Khi người dùng gõ “gsa.gov” vào thanh URL, trình duyệt mặc định sử dụng http: //
- Người dùng có thể “click” (nhấp vào) liên kết cũ sử dụng nhầm URL http: //
- Mạng của người dùng có thể chủ động và chống đối viết lại các liên kết https: // thành http: //
HSTS sẽ ngăn điều đó xảy ra bằng cách buộc các trình duyệt không chấp nhận kết nối HTTP. Chúng sẽ cho trình duyệt biết rằng toàn bộ website chỉ nên được truy cập bằng giao thức an toàn HTTPS.
Cách tải HSTS vào Chrome như sau:
- Đầu tiên: Google Chrome có chương trình tải trước HSTS, các nhà phát hành có thể gửi website của mình để Chrome liệt kê và chỉ cho phép truy cập bằng HTTPS protocol.
- Sau đó: nhiều trình duyệt web dựa vào Chrome sẽ tải trước các website này bằng HTTPS và chỉ thông qua HTTPS, mã hóa cứng chuẩn ngay trong trình duyệt.
Các website đủ điều kiện phải đang cung cấp tiêu đề bảo mật HSTS. 4 điều kiện cần thiết nhằm tải trước HSTS từ Chrome là:
- Cung cấp chứng chỉ hợp lệ
- Chuyển hướng từ HTTP đến HTTPS trên cùng một máy chủ, nếu bạn đang trên cổng 80
- Phân phối toàn bộ các miền phụ qua HTTPS. Đặc biệt, bạn phải trợ giúp HTTPS cho miền phụ www nếu bản ghi DNS cho miền phụ đó tồn tại
- Đưa ra tiêu đề HSTS trên miền cơ sở cho những yêu cầu HTTPS:
– Độ tuổi tối đa ít nhất là 31536000 giây (1 năm)
– Chỉ thị include subdomains và chỉ thị tải trước phải được chỉ định
– Nếu bạn đang đưa ra chuyển hướng bổ sung từ trang HTTPS của bạn, chuyển hướng đó vẫn phải có tiêu đề HSTS (thay vì trang mà nó chuyển hướng đến)
HSTS giúp ngăn chặn kẻ tấn công xâm phạm bảo mật của website, người truy cập
3. X-Content-Types-Options
Security Headers này ngăn chặn một số loại khai thác có thể xảy ra, ví dụ như thông qua nội dung độc hại do người dùng tạo. Trình duyệt có thể “đánh hơi” nếu nội dung là phim (.mp4), hình ảnh (.jpg) hoặc văn bản, JavaScript, HTML và các loại nội dung khác có thể được tải xuống từ một website.
Tính năng “đánh hơi” cho phép trình duyệt tải xuống các phần tử của trang web và hiển thị chính xác chúng, nhất là trong các tình huống khi siêu dữ liệu mà trình duyệt phải để hiển thị phần tử bị thiếu. Tính năng Sniffing cho phép trình duyệt tìm ra phần tử đó là gì (văn bản, hình ảnh,…) và sau đó hiển thị phần tử đó.
Tuy nhiên, tin tặc sẽ cố gắng đánh lừa các trình duyệt nghĩ rằng một tệp JavaScript có hại thực chất chỉ là 01 hình ảnh, cho phép trình duyệt tải xuống tệp.
Sau đó thực thi tệp đó, gây ra kết quả tiêu cực cho người truy cập website đó, nhất là đối với những gì được gọi là tấn công bằng cách Drive-by Download Attack. X-Content-Type-Options header có thể ngăn điều đó và các cuộc tấn công liên quan bằng cách vô hiệu hóa khả năng “đánh hơi” loại nội dung của trình duyệt.
4. X-Frame-Options
- X-Frame-Options Security Header giúp ngăn chặn những cuộc tấn công clickjacking.
- X-Frame-Options hoạt động bằng cách ngăn website khỏi hiển thị bằng iframe. Thế nhưng, nó có thể ngăn chặn được nhiều thứ hơn nữa chứ không chỉ những cuộc tấn công dựa trên iframe.
- X-Frame-Options Header rất quan trọng trong việc bảo vệ người truy cập website cũng như danh tiếng website của bạn.
Việc trở nên nổi tiếng trên các phương tiện truyền thông xã hội cùng sự phát triển của Internet như 1 mối đe dọa về bảo mật, gây ra tác hại cho công việc kinh doanh. Vì vậy, X-Frame-Options header là một biện pháp bảo mật tốt nhất để triển khai.
5. Referrer-Policy
Mục đích của Referrer-policy Header: cho phép nhà phát hành web kiểm soát thông tin nào được gửi khi khách truy cập website nhấp vào link để truy cập website khác. Khi khách truy cập nhấp vào link và chuyển hướng đến một website khác, trình duyệt của khách truy cập sẽ cung cấp thông tin về website nào đã gửi link truy cập đó.
Khi bạn xem nhật ký máy chủ của mình, thông tin liên kết giới thiệu được gửi cho biết những website nào đã gửi người truy cập. Tuy nhiên, có một số tình huống, URL của website giới thiệu 1 khách truy cập đến 1 khách truy cập khác có thể chứa thông tin nhạy cảm với nguy cơ bị phát tán cho bên thứ ba.
Trong trường hợp đó, Referrer-Policy hoạt động bằng cách giới hạn thông tin được gửi sau khi khách truy cập nhấp vào liên kết. Nhà phát hành website có thể chọn không gửi thông tin đến liên kết giới thiệu, thay vì vậy là chỉ gửi tên miền hoặc gửi toàn bộ chuỗi URL.
Có 8 chỉ thị có thể được gửi nhờ vào sử dụng Referrer-Policy Header:
- Referrer-Policy: no-referrer.
- Referrer-Policy: no-referrer-when-downgrade.
- Referrer-Policy: origin.
- Referrer-Policy: origin-when-cross-origin.
- Referrer-Policy: same-origin.
- Referrer-Policy: strict-origin.
- Referrer-Policy: strict-origin-when-cross-origin.
- Referrer-Policy: unsafe-url.
Một cài đặt phổ biến là “no-referrer-when-downgrade”, tức là thông tin liên kết giới thiệu sẽ được gửi đến các URL uy tín trên HTTPS nhưng không được gửi đến các website HTTP không uy tín. Một điều quan trọng nên lưu ý, đó là cài đặt Referrer-Policy sẽ không ảnh hưởng đến Affiliate Marketing (tiếp thị liên kết).
Thông tin liên kết giới thiệu được mã hóa trong URL trang đích, vì vậy thông tin liên kết giới thiệu và thu nhập được ghi lại từ người bán nhận được tiếp thị liên kết.
Lời kết
Có thể nói, qua bài viết, độc giả cũng phần nào hiểu được khái niệm Security Headers là gì, tầm quan trọng cũng như TOP 5 Security Headers tốt cho SEO. Các thông tin, chia sẻ kể trên đều rất bổ ích cho cá nhân, doanh nghiệp khi xây dựng và phát triển website. Vậy nên, hãy lưu lại những kiến thức hữu ích này nhé! Nếu bạn còn thắc mắc gì thì xin hãy liên hệ ngay KingNCT để được giải đáp thắc mắc nhé.
