
Как мы улучшили безопасность в 🌱kvitly, чтобы защитить ваш бизнес
Егор Курьянович для раздела Обновления
В 🌱kvitly мы стремимся помочь малому и среднему бизнесу расти без лишних сложностей. Но рост – это не только новые инструменты, но и безопасность данных ваших клиентов и сайта.
Недавно мы усилили защиту нашей платформы, добавив дополнительные HTTP-заголовки безопасности. Возможно, это звучит технически, но вот почему это важно:
- Усиленная защита от киберугроз
- Безопасный пользовательский опыт для ваших клиентов
- Повышенное доверие и соответствие современным стандартам безопасности
Давайте разберёмся, какие меры мы внедрили и как это помогает вам.
Что такое заголовки безопасности?
Когда вы посещаете сайт, ваш браузер обменивается данными с веб-сервером. Заголовки безопасности – это своеобразные правила, которые сообщают браузеру, как обрабатывать и защищать эти данные.
Если сайт не использует правильные заголовки, он может быть уязвим для атак clickjacking, XSS, утечек данных и других угроз.
Мы исправили это.
Что мы внедрили и почему это важно
1. HTTP Strict Transport Security (HSTS)
Что делает: Принудительно переводит все соединения на HTTPS, запрещая загрузку незащищённых версий сайта.
Почему это важно: Предотвращает "атаки посредника", которые могут перехватывать данные.
Наша реализация:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Влияние: Обеспечивает надёжное шифрованное соединение для всех пользователей 🌱kvitly.
2. Политика безопасности контента (CSP) – защита от Clickjacking
Что делает: Ограничивает, какие сайты могут встраивать 🌱kvitly в <iframe>, предотвращая скрытые атаки.
Почему это важно: Защищает пользователей от обманных интерфейсов и перехвата данных.
Наша реализация:
add_header Content-Security-Policy "frame-ancestors 'self' https://*.kvitly.com;" always;
Влияние: Только дочерние домены 🌱kvitly могут встраивать контент, предотвращая мошеннические атаки.
3. X-XSS-Protection – защита от межсайтовых скриптовых атак (XSS)
Что делает: Запрещает выполнение вредоносного JavaScript-кода.
Почему это важно: Защищает пользователей от кражи данных и поддельных форм авторизации.
Наша реализация:
add_header X-XSS-Protection "1; mode=block" always;
Влияние: Гарантирует, что формы входа, платежные страницы и личные кабинеты защищены от XSS-атак.
4. X-Content-Type-Options – предотвращение MIME-атак
Что делает: Запрещает браузеру угадывать тип загружаемых файлов.
Почему это важно: Предотвращает подмену файлов и загрузку вредоносного ПО под видом изображений или документов.
Наша реализация:
add_header X-Content-Type-Options "nosniff" always;
Влияние: Обеспечивает безопасную загрузку файлов, предотвращая подмену контента.
5. Referrer Policy – защита данных при переходе на сторонние сайты
Что делает: Ограничивает, какие данные передаются при переходе на сторонние сайты.
Почему это важно: Защищает пользователей от утечки конфиденциальных данных.
Наша реализация:
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Влияние: Снижает риски утечки данных, особенно при использовании внешних платежных систем.
6. Permissions Policy – ограничение доступа к устройству
Что делает: Контролирует доступ сайта к камере, микрофону, геолокации и другим функциям браузера.
Почему это важно: Предотвращает ненужный сбор данных и защищает личную информацию пользователей.
Наша реализация:
add_header Permissions-Policy "geolocation=(), microphone=(), camera=(), interest-cohort=()" always;
Влияние: Снижает риски скрытого слежения и утечки конфиденциальных данных.
Что это значит для пользователей 🌱kvitly
- Ваши сайты и данные теперь ещё более защищены.
- 🌱kvitly работает на опережение, внедряя лучшие практики безопасности.
- Соответствие современным стандартам безопасности Google, Mozilla и других разработчиков браузеров.
И самое главное?

🌱kvitly и все наши клиенты получили рейтинг A+ на SecurityHeaders.com!

Егор Курьянович
Веб-разработчик с 15-летним стажем, автор популярных белорусских и международных онлайн-сервисов, написал книгу об HTML5, когда это ещё не было мейнстримом. Очень любит вишневые лакомства.
Готовы начать?
Исследуйте все функции 🌱kvitly в течение 14 дней. Без обязательств и платежных карт.
Давайте пробовать!