Preguntas con etiqueta 'header'

preguntas con etiqueta
1
respuesta

Al implementar CORS, ¿debo buscar un encabezado HOST correcto en mi aplicación web?

Tengo un servidor web backend que sirve una API (a través de HTTPS) a un cliente de navegador frontend en un subdominio diferente. Utiliza CORS para permitir esto. La especificación CORS le indica que no envíe los encabezados CORS si el ori...
hecha 12.07.2018 - 21:17
1
respuesta

Configuración del encabezado HTTP X-Frame-Options DENY para activos estáticos

Estoy comprobando la seguridad de mi aplicación Django a través de un escáner de seguridad y Me pregunto si es útil establecer el encabezado X-Frame-Options DENY en activos estáticos como CSS, imágenes o archivos JS. Supongo que se p...
hecha 09.03.2016 - 18:07
0
respuestas

encabezado HTTP: Rango: bytes = XXX y posible XSS?

Actualmente estoy experimentando con el encabezado HTTP "Range: bytes = XXX". Independientemente de la posibilidad de usarlo para el llamado ataque "Apache Killer" DoS (versión de Apache sin parche, etc.), ¿es posible utilizarlo incorrectamente...
hecha 08.05.2017 - 15:12
1
respuesta

Daño de un ETag filtrado

He leído varias veces que los ETags filtrados de los servidores web se consideran una vulnerabilidad de fuga de información. Por ejemplo, en los encabezados de respuesta del servidor: ETag: X/"1234-56789" Pero no he encontrado una razón...
hecha 25.05.2018 - 07:28
2
respuestas

¿Cómo evitar correos electrónicos donde el remitente ha sido falsificado? [cerrado]

He estado en el extremo receptor de algunos correos electrónicos falsificados clásicos donde el remitente envía un correo electrónico que parece provenir de un alto ejecutivo de la empresa. Por supuesto, estos siempre están pidiendo que se trans...
hecha 05.05.2017 - 08:45
1
respuesta

¿Qué debería ser el tipo de contenido de una página codificada?

Una revisión de seguridad respondió que tenemos un tipo de contenido incorrecto. No se indicó ningún tipo de contenido, por lo que el valor predeterminado es texto / html. Sin embargo, la página estaba simplemente codificada: Fiddler le da la...
hecha 12.04.2017 - 08:51
1
respuesta

El proxy no rechaza el encabezado de host ilegal cuando viene de la red de mi proveedor de VM

Tengo una aplicación de django alojada en una VM de linode, con proxy de nginx en esa misma VM. En mi configuración nginx tengo un bloque para denegar solicitudes de encabezado de host incorrecto : ## Deny illegal Host headers if ($host !~...
hecha 15.04.2017 - 23:58
1
respuesta

¿Existe algún riesgo con la reflexión del valor del encabezado HTTP?

Este sitio web tiene un encabezado en la solicitud (If-None-Match) y cualquiera que sea el valor que se le haya asignado, la respuesta contendrá un encabezado (ETag) con el valor del encabezado If-None-Match. Entiendo por qué lo hace, pero ¿h...
hecha 02.12.2018 - 00:13
1
respuesta

Solicitud de HTTP sospechosa al servidor nginx en el registro del servidor, ¿qué es?

Tengo un servidor nginx ejecutando una instancia y un servidor express / nodejs. Estaba revisando los registros para ver lo que se estaba solicitando, y noté algunos intentos normales de fallas comunes en cosas como la prensa de palabras, per...
hecha 17.08.2018 - 05:35
2
respuestas

El nombre de usuario y la contraseña se pasan en encabezados personalizados

¿Es seguro pasar el nombre de usuario y la contraseña en dos etiquetas de encabezado personalizadas separadas en servicios web / aplicación web? Enviar solicitud a través de https. ¿En qué se diferencia del uso del encabezado de Autorización?...
hecha 30.08.2017 - 14:08