Headers de seguridad para Nginx

Hace algún tiempo atrás escribí el articulo sobre PHP y cabeceras de seguridad (headers).

Hoy utilizando WordPress para una serie de artículos me encontré revisando las instalaciones que tengo, Nginx, PHP-FPM y buscando actualizar contenido sobre ellas.

En esta ocasión vamos a revisar Content Security Policy o CSP algo mas a fondo.

Indice de protecciones:

Protege contra los ataques de Clickjacking.
- Fuente / Fuente
Protege contra las inyecciones de XSS.
- Fuente
Protege contra ataques de confusión de tipo MIME.
- Fuente
Defensa basada en directivas XSS moderna de CSP, utilizada desde 2014.
- Fuente
Evita la filtración de datos de referencia a través de conexiones inseguras.
- Fuente

  add_header X-Frame-Options "SAMEORIGIN";
  add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
  add_header X-XSS-Protection "1; mode=block";
  add_header X-Content-Type-Options "nosniff";
  add_header Content-Security-Policy "default-src https: data:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; font-src https: data: "; 
  add_header Referrer-Policy 'origin';

BarraHome.org :~#

Tecnología, open source, seguridad y mas.

Headers de seguridad para Nginx