Cloudflare Pages ve React Siteleri için Güvenlik Başlıkları
Statik React dağıtımlarında yaygın tarayıcı tarafı riskleri azaltmak için güvenlik başlıkları, canonical metadata ve yanıt doğrulama nasıl kullanılmalı.
Öne Çıkanlar
- Güvenlik başlıkları yalnızca kod yorumu değil, dağıtım konfigürasyonu olarak ele alınmalıdır.
- Cloudflare Pages, yayın öncesi test edilebilen statik header kurallarını destekler.
- Wildcard CORS, özel bir cross-origin kullanım ihtiyacı yoksa genel statik yanıtlar için çoğu zaman fazla geniştir.
Temel başlık seti
Güçlendirilmiş bir React sitesi, tarayıcı davranışını açıkça tanımlamalıdır. Kesin politika uygulamaya bağlıdır; ancak temel set genellikle content type koruması, clickjacking koruması, referrer kontrolü, permissions policy ve dikkatle seçilmiş bir content security policy içerir.
Statik hostlarda bunu unutmak kolaydır; çünkü uygulama başlıklar olmadan da render edilir. Güvenlik çalışması HTTP yanıt katmanında doğrulanmalıdır.
Cloudflare Pages için dikkat edilmesi gerekenler
- Header kurallarını mümkün olduğunda repoya yakın tutun; böylece değişiklikler kodla birlikte incelenir.
- Dokümante edilmemiş dashboard değişikliklerinden kaçının; gelecekte denetlenmeleri daha zordur.
- Hem www hem apex alan adları servis ediliyorsa ikisini de doğrulayın.
- Redirect zincirlerinin final yanıttan önemli başlıkları düşürmediğini kontrol edin.
CORS bilinçli olmalı
Access-Control-Allow-Origin: * çoğu zaman sebep olmadan sitelere kopyalanır. Normal web sayfalarında geniş CORS genellikle ziyaretçiye fayda sağlamaz ve aynı politika altında ileride endpoint eklenirse istemeden veri açığa çıkmasını kolaylaştırabilir.
Neler otomatikleştirilmeli
- Statik header konfigürasyonunda wildcard CORS kullanımını reddeden bir test.
- Sitemap ve robots dosyalarını yayınlayan bir build adımı.
- Kritik sayfaların render edildiğini ve metadata bulunduğunu doğrulayan preview kontrolü.
- Dağıtım sonrası production domainleri için canlı yanıt kontrolü.