Headers de seguridad para Nginx

Hace algún tiempo atrás escribí el articulo sobre PHP y cabeceras de seguridad (headers).

Hoy utilizando WordPress para una serie de artículos me encontré revisando las instalaciones que tengo, Nginx, PHP-FPM y buscando actualizar contenido sobre ellas.

En esta ocasión vamos a revisar Content Security Policy o CSP algo mas a fondo.

Indice de protecciones:

  • Protege contra los ataques de Clickjacking.
  • Protege contra las inyecciones de XSS.
  • Protege contra ataques de confusión de tipo MIME.
  • Defensa basada en directivas XSS moderna de CSP, utilizada desde 2014.
  • Evita la filtración de datos de referencia a través de conexiones inseguras.
  add_header X-Frame-Options "SAMEORIGIN";
  add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
  add_header X-XSS-Protection "1; mode=block";
  add_header X-Content-Type-Options "nosniff";
  add_header Content-Security-Policy "default-src https: data:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; font-src https: data: "; 
  add_header Referrer-Policy 'origin';