تخطَّ إلى المحتوى
Wwpresslyالمدونة
محلّل ترويسات الأمان

محلّل ترويسات أمان HTTP

أدخل رابط موقعك لنفحص ترويسات الأمان في استجابته ونقيّمها بدرجة إجمالية مع شرح كل ترويسة.

جرّب مثالًا:

تفحص هذه الأداة ترويسات الأمان في استجابة موقعك عبر HTTP، وتمنحها تقديرًا يوضّح مدى تشدّد إعداداتها الدفاعية. ترويسات الأمان طبقة دفاع تعمل داخل متصفّح الزائر: فهي تُلزِم المتصفّح بقواعد تحدّ من هجمات مثل XSS والنقر المخادع وتسريب البيانات، فتكمّل حماية الخادم بدل أن تستبدلها. اعتبرها جزءًا من مبدأ الدفاع المتعمّق: كل ترويسة طبقة إضافية تصعّب على المهاجم استغلال موقعك.

كيف تقرأ النتيجة؟

تعرض الأداة كل ترويسة في صف، مع حالتها وتأثيرها، واقرأها على النحو التالي:

  • التقدير الإجمالي (من A إلى F) ملخّص لمدى اكتمال ترويساتك وقوّتها: A يعني تغطية شبه كاملة بقيم متينة، وF يعني غياب معظم الطبقات الدفاعية.
  • أمام كل ترويسة حالة: «جيّد» تعني أنّها موجودة بقيمة آمنة، و«ضعيف» تعني موجودة لكن بقيمة متساهلة أو ناقصة، و«ناقص» تعني غيابها تمامًا.
  • غياب ترويسة ليس اختراقًا لموقعك، بل طبقة دفاع مفقودة تجعل ثغرة محتملة في طبقة أخرى أسهل استغلالًا.
  • ترويستا CSP وHSTS الأعلى وزنًا: الأولى أقوى ضابط ضد حقن السكربتات (XSS)، والثانية تفرض HTTPS وتمنع التنزّل إلى اتصال غير مشفّر.

أسئلة شائعة عن ترويسات الأمان

ما هي ترويسات أمان HTTP؟

هي ترويسات يرسلها الخادم ضمن استجابة HTTP لتوجيه متصفّح الزائر إلى تطبيق سياسات أمان محدّدة، مثل منع تأطير الصفحة أو حصر مصادر السكربتات. وظيفتها تقليص سطح الهجوم على مستوى المتصفّح كطبقة مكمّلة لحماية الخادم والتطبيق.

ما الفرق بين ترويسة موجودة وأخرى ضعيفة؟

الترويسة الموجودة بقيمة سليمة تطبّق الحماية المقصودة بالكامل، أمّا الضعيفة فموجودة لكن بقيمة متساهلة تترك ثغرة، مثل HSTS بمدّة قصيرة جدًّا أو CSP يسمح بمصادر واسعة. الحالة الضعيفة تستحق المراجعة والتشديد، لا الاطمئنان لمجرّد وجود الترويسة.

هل غياب ترويسة يعني أنّ موقعي مخترَق؟

لا، الغياب لا يعني اختراقًا قائمًا، بل ضعفًا في طبقة من طبقات الدفاع المتعمّق. يبقى موقعك يعمل، لكنّ بعض الهجمات تصبح أيسر إن اجتمع غياب الترويسة مع ثغرة أخرى، لذا يُستحسن إكمالها.

كيف أضيف الترويسات الناقصة؟

تُضاف الترويسات عادةً من إعدادات الخادم (Nginx/Apache) أو شبكة التوصيل (CDN مثل Cloudflare) أو إطار العمل/الاستضافة الذي تستخدمه. أضِفها واحدةً تلو الأخرى بقيم متحفّظة، واختبر CSP خاصةً في وضع التقرير أوّلًا لتفادي تعطيل موارد مشروعة قبل فرضها.

موقع آمن يبدأ من استضافة آمنة

استضافة wpressly تأتيك بـSSL مجاني وحماية مدمجة ونسخ احتياطي تلقائي — أمّن موقعك وزوّارك من اليوم الأول.

اكتشف الاستضافة الآمنة