analyzing-security-headers

Skill analizuje nagłówki HTTP odpowiedzi serwera, aby zidentyfikować brakujące, błędnie skonfigurowane lub ujawniające informacje nagłówki bezpieczeństwa. Porównuje konfigurację z rekomendacjami OWASP Secure Headers Project i standardami przeglądarek. Sprawdza krytyczne nagłówki takie jak Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options i Permissions-Policy. Obsługuje analizę zarówno połączeń HTTP, jak i HTTPS, a także przetwarzanie łańcuchów przekierowań. Idealny do audytu bezpieczeństwa aplikacji webowych i oceny zgodności z wymogami bezpieczeństwa.

1. Przygotuj domenę lub URL do analizy. Jeśli podasz samą nazwę domeny bez protokołu, skill automatycznie użyje https://. Możesz również przesłać listę domen rozdzielonych znakami nowego wiersza do analizy wsadowej.
2. Uruchom skill z frazą taką jak "analizuj nagłówki bezpieczeństwa", "sprawdź nagłówki HTTP", "audytuj bezpieczeństwo strony" lub "oceń konfigurację CSP i HSTS".
3. Skill pobierze nagłówki odpowiedzi zarówno dla połączeń HTTP, jak i HTTPS, rejestrując pełny łańcuch przekierowań i końcowy adres URL.
4. Wyniki będą zawierać ocenę krytycznych nagłówków: Strict-Transport-Security (wymaga max-age≥31536000, includeSubDomains, preload), Content-Security-Policy (sprawdza unsafe-inline, unsafe-eval, nadmiernie szerokie default-src, brakujące frame-ancestors), X-Frame-Options (wymaga DENY lub SAMEORIGIN), X-Content-Type-Options (wymaga nosniff) i Permissions-Policy.
5. Skill zidentyfikuje brakujące nagłówki, błędy konfiguracji i potencjalne zagrożenia bezpieczeństwa, dostarczając konkretne rekomendacje naprawy.
6. Opcjonalnie wyniki mogą być zapisane w katalogu security-reports/ jeśli masz dostęp do zapisu w ${CLAUDE_SKILL_DIR}/security-reports/.