Security Headers Nedir 
Tarayıcıya Güvenliği Öğreten Sessiz Kurallar
“Tarayıcıya neye izin vereceğini söylemezsen, her şeye izin verir.”
— Ersan Karavelioğlu
Security Headers Nedir
Security Headers, web sunucusunun tarayıcıya gönderdiği ve
sayfanın nasıl çalışacağını, neye izin verileceğini belirleyen HTTP başlıklarıdır.
Kod çalışmadan önce konuşurlar;
Davranışı baştan sınırlarlar.
Neden “Sessiz”dir
Kullanıcı görmez
UI’de değişiklik olmaz
Ama saldırı yüzeyi daralır
Security Headers Ne Yapar
Tarayıcıyı yönlendirir
Varsayılan “serbest” davranışı kısıtlar
Güvenliği istemci tarafına taşır
Sunucu Güvenliyse Header’a Gerek Var mı
Evet, var.
XSS, clickjacking gibi saldırılar tarayıcıda olur
Sunucu tek başına yetmez
Content-Security-Policy (CSP) Nedir
CSP, hangi script, stil, iframe’in çalışabileceğini belirler
XSS’nin en güçlü panzehiridir
“Nereden ne çalışır?” sorusuna cevap verir
CSP Neden Zor Ama Değerlidir
Yanlış yazılırsa site bozulur
Ama doğru yazılırsa XSS’yi boğar
Güçlü ama disiplin ister
X-Frame-Options Nedir
Sayfanın iframe içinde açılıp açılmayacağını belirler
Clickjacking’i engeller
DENY / SAMEORIGIN
X-Content-Type-Options Nedir
Tarayıcının içeriği “tahmin etmesini” engeller
MIME sniffing kapanır
nosniff kritik bir kelimedir
Referrer-Policy Nedir
Hangi bilgilerin başka siteye gönderileceğini kontrol eder
URL içindeki hassas veriler korunur
Sızıntı sessizce önlenir
Strict-Transport-Security (HSTS) Nedir
Tarayıcıya “HER ZAMAN HTTPS kullan” der
SSL stripping saldırılarını bitirir
Güvenli yol zorunlu olur
HSTS Neden Geri Dönülmezdir
Yanlış domain’de açılırsa
HTTP tamamen kapanır
Güçlü ama dikkat ister
Permissions-Policy Nedir
Kamera, mikrofon, konum izinleri
Hangi özellikler kullanılabilir belirler
Tarayıcı yetkileri sınırlandırılır
Cross-Origin-Opener / Embedder / Resource Policies
Cross-origin izolasyon sağlar
Modern tarayıcı güvenliğinin temelidir
Spectre benzeri saldırılara karşı zırhtır
Security Headers XSS’yi Bitirir mi
Hayır, tek başına değil
Ama etkisini dramatik biçimde azaltır
Güvenlik katmanlıdır
WAF Yerine Geçer mi
Hayır
WAF sunucuda, header tarayıcıda çalışır
Birlikte anlamlıdır
Neden Hâlâ Eksik Kullanılır
Bilinmez
“Sonra ekleriz” denir
Sessiz olduğu için ihmal edilir
Nasıl Test Edilir
Tarayıcı dev tools
Güvenlik tarama araçları
Header yoksa alarmdır
En Büyük Yanılgı
“HTTPS var, yeter.”
HTTPS taşıma güvenliğidir
Davranış güvenliği header’larla gelir
Son Söz Tarayıcıyı Eğitmeyen, Kullanıcıyı Koruyamaz
Security Headers,
tarayıcıya sınır çizen sessiz kurallardır.
Saldırılar çoğu zaman tarayıcıyı kandırır.
Güvenli sistem, tarayıcıya ne yapacağını söyler.
“Güvenlik bazen engellemek değil, öğretmektir.”
— Ersan Karavelioğlu
