Security Headers Analyzer

Phân tích security headers của website theo chuẩn OWASP và quy định của Việt Nam.

🔐 Về Security Headers

Security headers giúp bảo vệ website khỏi các cuộc tấn công phổ biến như XSS, clickjacking, và MITM. Công cụ này kiểm tra tuân thủ chuẩn quốc tế và Việt Nam.

Phân tích Website

URL website để phân tích

Chỉ hiện headers tuân thủ chuẩn Việt Nam

Security Headers Reference

Strict-Transport-Security

high

Buộc trình duyệt sử dụng HTTPS và ngăn chặn tấn công man-in-the-middle

Giá trị khuyến nghị:max-age=31536000; includeSubDomains; preload

Content-Security-Policy

high

Ngăn chặn XSS và các cuộc tấn công code injection

Giá trị khuyến nghị:default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'

X-Frame-Options

medium

Ngăn chặn clickjacking bằng cách kiểm soát việc nhúng trang trong iframe

Giá trị khuyến nghị:DENY hoặc SAMEORIGIN

X-Content-Type-Options

medium

Ngăn chặn MIME type sniffing attacks

Giá trị khuyến nghị:nosniff

Referrer-Policy

low

Kiểm soát thông tin referrer được gửi khi người dùng navigate

Giá trị khuyến nghị:strict-origin-when-cross-origin

Permissions-Policy

medium

Kiểm soát các tính năng và API mà trang web có thể sử dụng

Giá trị khuyến nghị:camera=(), microphone=(), geolocation=()

X-XSS-Protection

low

Kích hoạt XSS filter built-in của trình duyệt (deprecated)

Giá trị khuyến nghị:1; mode=block

Cross-Origin-Embedder-Policy

medium

Bảo vệ chống lại Spectre-style attacks

Giá trị khuyến nghị:require-corp

Cross-Origin-Opener-Policy

medium

Bảo vệ browsing context group khỏi cross-origin attacks

Giá trị khuyến nghị:same-origin

Cross-Origin-Resource-Policy

low

Bảo vệ tài nguyên khỏi cross-origin/cross-site request attacks

Giá trị khuyến nghị:cross-origin

Tiêu chuẩn Việt Nam

Nghị định 85/2016/NĐ-CP

Quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ

•HTTPS bắt buộc cho tất cả website chính phủ
•Phải có Content Security Policy
•Kiểm soát truy cập và xác thực người dùng
•Logging và monitoring hoạt động bảo mật

Luật An ninh mạng 2018

Quy định về an ninh mạng và bảo vệ dữ liệu cá nhân

•Bảo vệ thông tin cá nhân của công dân Việt Nam
•Báo cáo sự cố bảo mật trong 24h
•Lưu trữ dữ liệu trong nước (với một số ngoại lệ)
•Tuân thủ các tiêu chuẩn bảo mật quốc gia

📖 Tài liệu tham khảo

Chuẩn quốc tế:

• OWASP Secure Headers Project
• Mozilla Web Security Guidelines
• NIST Cybersecurity Framework
• RFC Security Best Practices

Quy định Việt Nam:

• Nghị định 85/2016/NĐ-CP
• Luật An ninh mạng 2018
• Thông tư 16/2020/TT-BTTTT
• Tiêu chuẩn QCVN 86:2019