Recientemente, algunos de nuestros servidores fueron marcados por no implementar los encabezados HTTP adecuados en una exploración de Qualys.
Uno de los sitios que visito regularmente: enlace tiene implementados algunos buenos encabezados HTTP:
HTTP/1.1 200 OK
Date Mon, 26 Jun 2017 23:05:15 GMT
Content-Type text/html; charset=UTF-8
Transfer-Encoding chunked
Connection keep-alive
Set-Cookie __cfduid=d7bd211d03cddfc95f5d3b27f75db3e151498518314; expires=Tue, 26-Jun-18 23:05:14 GMT; path=/; domain=.pentestit.com; HttpOnly
X-XSS-Protection 1;mode=block
Referrer-Policy no-referrer-when-downgrade
Link <http://wp.me/8tJeS>; rel=shortlink
Vary Accept-Encoding
X-Mod-Pagespeed pentestit.com
Cache-Control max-age=0, no-cache, no-store, must-revalidate
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-UA-Compatible IE=Edge,chrome=1
Pragma no-cache
Content-Language en
Server cloudflare-nginx
CF-RAY 3753cf6c01ed6c88-SJC
A excepción de la Política de seguridad de contenido, parece estar haciendo todo correctamente.
¿Cuáles son sus puntos de vista acerca de fallar en los encabezados HTTP incorrectos? Intenté buscar información relacionada con esto, pero no pude encontrar nada.
Creo que esto debería ser definitivamente un error de PCI, ya que tiende a seguir el top 10 de OWASP que tiene una configuración errónea de seguridad A5 ( enlace ).
Mi pregunta es: ¿debería fallar si no implemento los encabezados HTTP y NO HTTPS correctos? Estoy haciendo todas las demás cosas correctamente, pero faltan algunos encabezados HTTP.