Supongamos que tiene una aplicación ejecutándose en app.example.com
en su red local, y la hace accesible en Internet a través de un proxy inverso en web.example.com
. Establecería los encabezados en app
por varios motivos:
- Desea mantener la lógica de la aplicación cerca de la aplicación. Los encabezados no son de talla única. Necesitas entender qué estás sirviendo para saber cómo configurarlos. Por lo tanto, tiene más sentido establecerlos en
app.example.com
.
- Los usuarios en su intranet pueden navegar directamente a
app.example.com
, ya sea a propósito o por error. Aún deben obtener la protección.
- Si un atacante conoce la URL de
app.example.com
, podría aprovecharla en un ataque contra usuarios en su intranet. Si no puede incrustar web.example.com
en un iframe en evil.com
para su ataque, puede incrustar app.example.com
en su lugar.
Si tiene un nivel mínimo de protección que quiere que tenga todo (quizás siempre quiera que esté activada la protección XSS), puede configurarlo tanto en web.example.com
como en un dispositivo de seguridad adicional.