Nginx y Apache Security Headers

Creado: Octubre 5, 2022

Security Headers para Apache y Nginx actualizados, una breve reseña de los mismos. Este breve articulo no es mas que una nota o cheatsheet de los security headers a utilizar y requeridos en su mayoría. Si desean leer sobre el tema pueden seguir el siguiente enlace.

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header Feature-Policy "microphone none;camera none;geolocation none;";
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header Expect-CT "max-age=31536000; report-uri=https://www.barrahome.org/contact";
add_header Access-Control-Allow-Origin "*" always;

El equivalente para Apache seria utilizando algo como esto:

<IfModule mod_headers.c>
   Header always set X-XSS-Protection "1; mode=block"
<IfModule mod_headers.c>

Pueden observar los resultados aplicados en este blog visitando el sitio de Serpworx.

Leer artículo...

Evitando XSS ClickJacking Attacks y otras cosas en PHP

Creado: Diciembre 4, 2012

Buscando evitar XSS, ClickJacking me puse a mirar notas de seguridad para php y así mejorar mi blog mientras desarrollo mi proyecto sobre clusters en nginx aplique estos arreglos que mejoran la seguridad en mi Wordpress y mis otros proyectos basados en php.

Prevenir XSS:

http://people.mozilla.org/~bsterne/content-security-policy/index.html

header("X-Content-Security-Policy: allow 'self'; frame-ancestors 'none'");
header("X-XSS-Protection: '1'; mode='block'");

Prevenir ClickJacking:

http://es.wikipedia.org/wiki/Clickjacking

header('X-Frame-Options: DENY');

Prevenir que Internet Explorer adivine el Content-Type:

http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx

header('X-Content-Type-Options: nosniff' );

Prometo ir adentrando en estos temas mas adelante y así armarles una seguidilla de artículos prácticos para todos.