# Missing HTTP Security Headers
### HTTP Güvenlik Başlığı Nedir
* HTTP güvenlik başlıkları, bir web uygulamasının tarayıcılara gönderdiği özel HTTP başlıklarıdır.
* Amaçları, uygulamanın güvenliğini artırmak, saldırı yüzeyini azaltmak ve tarayıcı davranışlarını güvenlik açısından daha kontrollü hale getirmektir.
* Bu başlıklar sayesinde XSS, clickjacking, MIME sniffing, veri sızıntısı gibi birçok saldırıya karşı ek koruma sağlanabilir.
### Kontrol
*
```bash
shcheck.py https://example.com
```
### Content-Security-Policy (CSP)
* XSS saldırılarının riskini azaltır.
* Sitenin hangi kaynaklardan içerik alabileceğini kısıtlar.
* Örneğin saldırgan bir xss zafiyeti keşfetse bile csp dışardan bir js dosyası yüklemesini engeller.
```http
Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com
```
### Strict-Transport-Security (HSTS)
* MITM saldırılarını engeller.
* Tarayıcının siteye yalnızca HTTPS üzerinden bağlanmasını zorunlu kılar.
```http
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
```
### X-Frame-Options
* Sayfanın başka bir site içinde \