Preguntas con etiqueta 'header'

preguntas con etiqueta
2
respuestas

¿Para qué tipos de contenido se recomienda configurar el encabezado X-XSS-Protection?

Probablemente, uno pueda sugerir establecer este encabezado para todas las respuestas de un servidor web (estoy pensando en value="1; mode = block"). Sin embargo, ¿tiene sentido configurarlo al servir imágenes, por ejemplo? Archivos CSS? ¿Res...
hecha 09.02.2017 - 19:22
1
respuesta

Validación de tipo de contenido en las API REST

Estoy tratando de envolver mi cabeza, por eso se recomienda validar el content-type , enviado por un cliente a una API REST. OWASP declara en su hoja de trucos de seguridad REST : p>    Al enviar o enviar nuevos datos, el cliente esp...
hecha 22.03.2017 - 14:19
1
respuesta

¿Vale la pena verificar el nombre de host de la solicitud en las comunicaciones de API a API?

Al autenticar desde una aplicación del navegador a una capa API, puede verificar el origen de la solicitud para las solicitudes CORS. Soy consciente de que esto es principalmente para prevenir los ataques CSRF. No impide que un atacante acceda a...
hecha 10.12.2017 - 20:49
2
respuestas

¿El encabezado X-Permited-Cross-Domain-Policies tiene algún beneficio para mi sitio web si no uso los productos de Adobe?

OWASP dice que el encabezado de seguridad de X-Permited-Cross-Domain-Policies otorga a los clientes web " permiso para manejar los datos dominios ". Indica específicamente que Adobe Flash Player y Acrobat PDF Reader usan este encabezado y que o...
hecha 26.07.2017 - 01:39
2
respuestas

¿Puedo confiar en el encabezado del Host recibido en la solicitud?

La pregunta es muy simple: ¿puedo confiar en el valor del encabezado del Host? Estamos desarrollando una aplicación que sirve algunos recursos a través de HTTP y no vamos a tener algunos servicios privados y otros públicos. Tenemos domi...
hecha 27.01.2016 - 14:48
2
respuestas

¿Es el encabezado Origin realmente útil para asegurar un WebSocket?

He estado leyendo algunas publicaciones sobre seguridad de WebSockets, y algunas de ellas mencionan el uso del encabezado Origin para ayudar a asegurar la conexión. Por ejemplo, este enlace . Sin embargo, tengo muchas dudas sobre los benefic...
hecha 25.02.2016 - 10:34
1
respuesta

¿Las solicitudes sin encabezado UserAgent son un riesgo?

Un servicio que uso ha decidido bloquear solicitudes HTTP que no proporcionan un UserAgent, citando razones de seguridad. Por lo que puedo decir, UserAgent es una cadena sin un formato estándar que se utiliza principalmente para estadísticas,...
hecha 30.07.2016 - 00:59
1
respuesta

Opciones de X-Frame Ausente pero no puedo cargar la página en iframe

Estoy tratando de encontrar la razón por la cual una determinada página web no se está obteniendo, aunque el encabezado de X-Frame-Options esté ausente. Observación: Cuando escribo un HTML con etiqueta iframe que apunta a la URL y guardo este...
hecha 13.05.2017 - 19:57
3
respuestas

¿Qué hacen los datos POST de HackBar (complemento de Firefox)?

¿Qué hace la función POST DATA de Hackbar (Addon of Firefox)? Si estoy verificando la vulnerabilidad de XML XXE, la uso. ¿Pero qué hace al POSTAR algunos datos? Si quiero repetir lo mismo con Burp Suite, ¿cómo hago esto?     
hecha 25.05.2017 - 15:02
1
respuesta

¿Es el control de caché: no hay caché suficiente para información confidencial como cuentas bancarias, etc.?

He leído en alguna parte que al almacenar información confidencial en un sitio web, debe incluir cache-control: no-store para decirle al navegador que no almacene esa información en el sistema local. Pero creo que cuando se usa cache-c...
hecha 04.09.2018 - 17:07