¿Deben configurarse los encabezados de seguridad HTTP para todos los servidores?

1

Reconozco la importancia de configurar los encabezados de seguridad HTTP (X-Frame-Options, X-XSS-Protection y X-Content-Type-Options) para servidores web (y otros servidores de internet como los loadbalancers). Pero, ¿es esto necesario para los servidores que no tienen conexión a Internet?

    
pregunta ellefc 14.12.2018 - 10:41
fuente

1 respuesta

0

Supongamos que tiene una aplicación ejecutándose en app.example.com en su red local, y la hace accesible en Internet a través de un proxy inverso en web.example.com . Establecería los encabezados en app por varios motivos:

  • Desea mantener la lógica de la aplicación cerca de la aplicación. Los encabezados no son de talla única. Necesitas entender qué estás sirviendo para saber cómo configurarlos. Por lo tanto, tiene más sentido establecerlos en app.example.com .
  • Los usuarios en su intranet pueden navegar directamente a app.example.com , ya sea a propósito o por error. Aún deben obtener la protección.
  • Si un atacante conoce la URL de app.example.com , podría aprovecharla en un ataque contra usuarios en su intranet. Si no puede incrustar web.example.com en un iframe en evil.com para su ataque, puede incrustar app.example.com en su lugar.

Si tiene un nivel mínimo de protección que quiere que tenga todo (quizás siempre quiera que esté activada la protección XSS), puede configurarlo tanto en web.example.com como en un dispositivo de seguridad adicional.

    
respondido por el Anders 14.12.2018 - 13:57
fuente

Lea otras preguntas en las etiquetas