Web Security & Performance İkili Disiplini

CSP, güvenli önbellek ve saldırı yüzeyi azaltma

Performans optimizasyonları güvenlikten ödün vermemelidir; CSP ve cache-headeryönetimi birlikte ele alınmalıdır. Bu yol haritası Security-minded performance lead profiline yönelik hazırlanmış olup CSP, Subresource Integrity, CDN, Security.txt araçlarıyla uygulanabilir.

CSP ve Kaynak Kontrolü

Relaxed CSP politikaları XSS riskini artırır.

• nonce tabanlı script yükleme
• Strict-Dynamic ile güven kontrolü
• Report-only modunda iteratif rollout

Güvenli Önbellek

Cache policy kimlik doğrulamasıyla uyumlu olmazsa veri sızar.

• Private ve public cache ayrımı
• Auth header varlığında cache bypass
• CDN’de token stripping

Saldırı Yüzeyi Azaltma

Subresource integrity olmadan üçüncü parti scriptler risklidir.

• SRI hash otomasyonu
• Security.txt yayınlamak
• Bug bounty feedback loop

Başarı Metrikleri

• CSP violation: -%55 — Report-only iterasyonu sonrası.
• CDN cache miss: -%20 — Auth-aware cache politikası ile.
• 3rd party risk: -%40 — SRI ve kaynak whitelisti sayesinde.

Kod Örneği — Next.js middleware ile CSP nonce

export function middleware(req: NextRequest) {
  const nonce = crypto.randomUUID();
  const res = NextResponse.next();
  res.headers.set('Content-Security-Policy', \`script-src 'nonce-\${nonce}'\`);
  return res;
}

Uygulama Kontrol Listesi

• Nonce tabanlı CSP uygula.
• Report-only ile rollout yap.
• Auth-aware cache politikası yaz.
• SRI hash otomasyonunu kur.
• Security.txt ve bug bounty süreci çalıştır.

Anahtar odaklar: web security, performance, csp.