Headers de seguridad para Nginx
Hace algún tiempo atrás escribí el articulo sobre PHP y cabeceras de seguridad (headers).
Hoy utilizando WordPress para una serie de artículos me encontré revisando las instalaciones que tengo, Nginx, PHP-FPM y buscando actualizar contenido sobre ellas.
En esta ocasión vamos a revisar Content Security Policy o CSP algo mas a fondo.
Indice de protecciones:
- Protege contra los ataques de Clickjacking.
- Protege contra las inyecciones de XSS.
- Protege contra ataques de confusión de tipo MIME.
- Defensa basada en directivas XSS moderna de CSP, utilizada desde 2014.
- Evita la filtración de datos de referencia a través de conexiones inseguras.
add_header X-Frame-Options "SAMEORIGIN"; add_header Strict-Transport-Security "max-age=63072000; includeSubdomains"; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options "nosniff"; add_header Content-Security-Policy "default-src https: data:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; font-src https: data: "; add_header Referrer-Policy 'origin';