encabezados de seguridad HTTP en no HTML (imágenes, JavaScript, etc.)

Navega tus respuestas
4

Supongamos que los encabezados de seguridad HTTP a continuación se aplican a todas las páginas HTML de un sitio:

  • Seguridad de transporte estricta de HTTP (HSTS)
  • Opciones de X-Frame (XFO)
  • X-XSS-Protection
  • Opciones de tipo de contenido X

¿Está bien no colocar esos encabezados de seguridad HTTP en recursos que no son HTML (imágenes, archivos JavaScript, etc.) pero esos encabezados se aplican a todos los recursos HTML?

¿Hay riesgos de seguridad para eso?

    
pregunta htanata 10.02.2014 - 21:43
fuente

1 respuesta

1

Depende. Si el sitio web acepta contenido enviado por el usuario, es mejor mantener los encabezados XSS y nosniff, en caso de que tengan un vacío legal.

La falta de HSTS también está bien; sin embargo, asegúrese de tener sus cookies separadas de HTTP y HTTPS, por si acaso.

    
respondido por el Manishearth 10.02.2014 - 23:16
fuente

Lea otras preguntas en las etiquetas

OAuth2 - ¿Es seguro devolver el token de acceso al usuario? Seguridad de correo electrónico y servidores de correo residencial