Implementación del encabezado de seguridad HTTP

0

¿Alguien sabe si:

  1. Opciones de X-Frame
  2. X-XSS-Protection
  3. Opciones de tipo de contenido X
  4. Política de seguridad del contenido

son para HTTP y:

  1. Seguridad estricta en el transporte
  2. Public-Key-Pins

son para HTTPS?

Lo que quiero decir es que si tengo un blog que sirve páginas en HTTP y no tiene una redirección HTTPS, entonces solo son necesarios los primeros 4 encabezados. Si lo alojo en HTTPS, ¿solo entonces serán necesarios los 2 encabezados restantes?

¿O es que son necesarios sin importar cómo hospede el blog?

    
pregunta Metahuman 21.08.2017 - 22:08
fuente

1 respuesta

2
  

Si lo alojo en HTTPS, ¿solo entonces serán necesarios los 2 encabezados restantes?

No, eso no es suficiente. Los encabezados no se excluyen mutuamente para HTTP o HTTPS.

HTTPS no elimina las vulnerabilidades contra las cuales algunos de los encabezados deben protegerte. Por ejemplo, el encabezado X-Frame-Options evita que el encuadre de origen cruzado detenga los ataques clickjacking . Este riesgo no está relacionado con una conexión encriptada y tiene sentido para los sitios servidos a través de HTTP y HTTPS de manera similar.

Además, no hay "encabezados HTTPS", es solo que HSTS ( Strict-Transport-Security ) y HPKP ( Public-Key-Pins ) son Encabezados HTTP que indican específicamente al navegador cómo comportarse para las conexiones HTTPS.

  

[...] si tengo un blog que sirve páginas en HTTP y no tiene redireccionamiento HTTPS, entonces solo son necesarios los primeros 4 encabezados.

Dado que HSTS le indica al navegador que solo se conecte a través de HTTPS durante un tiempo determinado y HPKP especifica los hashes de clave pública para los certificados que el navegador debería aceptar, es correcto que estos dos encabezados no tengan sentido para un sitio web HTTP simple. . Sin embargo, dependiendo de su aplicación, solo establecer los encabezados de su lista no le garantizará un sitio web seguro. Le recomendaría que estudie el propósito de cada encabezado y otras medidas posibles para proteger su sitio.

    
respondido por el Arminius 21.08.2017 - 22:36
fuente

Lea otras preguntas en las etiquetas