Tạo Security Headers

Tạo HTTP security headers để bảo vệ website khỏi XSS, clickjacking, code injection và các tấn công phổ biến. Hỗ trợ CSP, HSTS, X-Frame-Options và 10+ headers khác.

💡 Chọn template để tự động điền cấu hình, sau đó tùy chỉnh chi tiết

🛡️ Content Security Policy (CSP)

'self' = chỉ cho phép từ domain hiện tại

🔐 HTTP Strict Transport Security (HSTS)

🔧 Security Headers Khác

⚠️ Header cũ, thay thế bằng CSP
💡 Ví dụ: geolocation=(), microphone=(), camera=() (tắt tất cả permissions)

📖 Cách sử dụng

1. Chọn template nhanh (Strict/Moderate/Basic) hoặc tùy chỉnh thủ công

2. Cấu hình CSP directives (script-src, style-src, img-src...)

3. Bật HSTS với max-age phù hợp (1 năm recommended)

4. Chọn các security headers khác (X-Frame-Options, Referrer-Policy...)

5. Chọn format output (Apache, Nginx, PHP, HTML)

6. Copy code và áp dụng vào server/website

7. Test bằng securityheaders.com

❓ Câu hỏi thường gặp

CSP là gì? Content Security Policy - whitelist nguồn nội dung được phép load (JS, CSS, images...).

HSTS là gì? Bắt buộc browser chỉ kết nối qua HTTPS, ngăn SSL stripping.

'self' nghĩa là gì? Chỉ cho phép từ domain hiện tại (không bao gồm subdomain trừ khi có includeSubDomains).

'unsafe-inline' có nguy hiểm không? Có, cho phép inline JS/CSS. Nên dùng nonce hoặc hash thay thế.

Test ở đâu? securityheaders.com hoặc Chrome DevTools > Network > Headers.

Có ảnh hưởng SEO? Có (gián tiếp) - HTTPS (HSTS) là ranking signal, bảo mật tốt = trust.

Security Headers Explained:

🛡️ CSP: Ngăn XSS bằng cách whitelist nguồn JS/CSS/images. Directive mạnh nhất.

🔐 HSTS: Bắt buộc HTTPS, ngăn downgrade attacks. max-age = thời gian cache.

🖼️ X-Frame-Options: Ngăn clickjacking (nhúng site vào iframe độc hại).

📄 X-Content-Type-Options: Ngăn MIME-sniffing (browser đoán sai content type).

🔗 Referrer-Policy: Kiểm soát referrer header khi navigate.

🎥 Permissions-Policy: Kiểm soát browser features (camera, mic, geolocation...).

⚠️ X-XSS-Protection: Legacy header, thay thế bằng CSP.

CSP Directives phổ biến:

default-src 'self' - Fallback cho tất cả directives khác

script-src 'self' https://cdn.com - JavaScript sources

style-src 'self' 'unsafe-inline' - CSS sources

img-src 'self' data: https: - Image sources (data: = base64)

font-src 'self' https://fonts.gstatic.com - Web fonts

connect-src 'self' - AJAX, WebSocket, EventSource

frame-ancestors 'none' - Thay thế X-Frame-Options

upgrade-insecure-requests - Tự động HTTPS

block-all-mixed-content - Chặn HTTP trên HTTPS

CSP Keywords:

'self' - Cùng origin (protocol + domain + port)

'unsafe-inline' - Cho phép inline <script>, <style> (không an toàn)

'unsafe-eval' - Cho phép eval(), setTimeout(string) (nguy hiểm)

'none' - Không cho phép bất kỳ nguồn nào

data: - Cho phép data: URIs (base64 images)

https: - Cho phép tất cả HTTPS URLs

*.example.com - Wildcard subdomain

⚠️ Common Mistakes:

❌ Dùng 'unsafe-inline' cho script-src (mở cửa cho XSS)

❌ HSTS với max-age quá ngắn (<6 tháng)

❌ Bật HSTS preload trước khi test kỹ (không rollback được)

❌ CSP quá lỏng (https: cho script-src)

❌ Quên subdomains khi dùng HSTS

❌ Deploy CSP mà không test (có thể break website)

Testing & Validation:

🌐 SecurityHeaders.com - Scan và grade A+ đến F

🔍 Google CSP Evaluator - Analyze CSP policy

🛠️ Chrome DevTools > Console - Xem CSP violations

📊 Mozilla Observatory - Security scan

HSTS Preload List - Submit site cho preload

Ví dụ Strict CSP

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content

Ví dụ HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Tiện ích liên quan

Đếm Token AI & Tính Chi Phí

Đếm Token AI & Tính Chi Phí

Đếm token và ước tính chi phí API cho ChatGPT, GPT-4, Claude và các mô hình AI khác
Tạo Schema Markup (JSON-LD)

Tạo Schema Markup (JSON-LD)

Tạo mã Schema Markup (Structured Data) theo chuẩn Schema.org dạng JSON-LD cho website, giúp Google hiểu nội dung và hiển thị Rich Snippets.
Trình Soạn Markdown

Trình Soạn Markdown

Soạn thảo Markdown với giao diện trực quan, xem trước tức thì và xuất HTML. Hỗ trợ đầy đủ cú pháp Markdown chuẩn.
Thời Gian Thay Lõi Lọc Nước

Thời Gian Thay Lõi Lọc Nước

Theo dõi và nhắc nhở thời gian thay các lõi lọc nước cho máy lọc gia đình, với cảnh báo trực quan và tiến độ sử dụng.
Tính Toán ROI - Return on Investment

Tính Toán ROI – Return on Investment

Công cụ tính toán lợi nhuận đầu tư với 5 chế độ: ROI %, Lời/Lỗ, Hoà vốn, Thời gian hoàn vốn, Lợi nhuận mục tiêu. Hỗ trợ phân tích đầu
Google Search Operators

Google Search Operators

Tạo truy vấn tìm kiếm nâng cao trên Google bằng các toán tử đặc biệt (search operators). Công cụ này giúp bạn lọc kết quả tìm kiếm chính xác và