Estoy realizando un análisis de seguridad en un sitio web y la herramienta ZAP informa que faltan encabezados seguros para js y páginas HTML estáticas. ¿Está bien ignorar las alertas?
Estoy realizando un análisis de seguridad en un sitio web y la herramienta ZAP informa que faltan encabezados seguros para js y páginas HTML estáticas. ¿Está bien ignorar las alertas?
Lo que creo que significa, es que necesitas proteger tu sitio contra los ataques XSS que imponen tus orígenes js / css.
1. Política de seguridad de contenido: le permite restringir el origen
Content-Security-Policy: script-src 'self'
https://apis.google.com
2. Opciones de X-Frame: detener el clickjacking
X-Frame-Options: DENY
3. Opciones de tipo de contenido X: imponer tipo de contenido
X-Content-Type-Options: nosniff
Content-Type: text/plain
4. Seguridad estricta en el transporte: impone HTTPS
Strict-Transport-Security: max-age=31536000; includeSubDomains
5. Solicitado con X: prevenir ataques CSRF
X-Requested-With: XMLHttpRequest
Tenga en cuenta que algunos de estos encabezados no son todos compatibles con el navegador. Lea el enlace de fuente a continuación y use aquellos que considere que se ajustan a su proyecto
Fuente: enlace
Lea otras preguntas en las etiquetas appsec secure-coding