HTTP Security Headers
El mejor sitio web hace que la conexión segura https sea aún más segura con HTTP Security Headers. ¿Su sitio web utiliza encabezados de seguridad HTTP para mayor seguridad? ¿Utiliza su sitio web encabezados de seguridad HTTP para comunicar al navegador del visitante qué medidas de seguridad se han tomado?
HTTP security headers
El visitante ve su sitio web a través de un navegador. Su servidor web comunica las páginas HTML al navegador. Su servidor web o sitio web también puede enviar cabeceras de seguridad HTTP para informar al navegador sobre la seguridad HTTP. ¿Qué puede esperar un navegador del sitio web y del servidor?
Pruebe los encabezados de seguridad HTTP que se envían junto con los encabezados de respuesta HTTP de su sitio web a través de los encabezados de seguridad. Hay varias medidas de seguridad que pueden ser aplicadas a través de los encabezados de seguridad de HTTP:
X Content Type Options
Un navegador puede interpretar el tipo de archivo de un archivo basado en su contenido. Con "X-Content-Type-Options: nosniff", el servidor obliga al navegador a no determinar el tipo de contenido vía MIME. Esto evita que los archivos de texto e imágenes se ejecuten como HTML/JavaScript.
X-Content-Type-Options: nosniff
Referrer Policy
Cuando un visitante de su sitio web hace clic en un hipervínculo a otro sitio, el navegador se comunica a través del "referenciador" en el encabezado HTTP con el nuevo sitio del que procede. Un sitio web puede entonces utilizar las estadísticas del servidor web para ver de dónde vienen sus visitantes. Si su sitio web funciona con https y el enlace se refiere a un sitio web http, esto es un "descenso" de la conexión para el visitante. Para proteger la privacidad de sus visitantes, puede desactivar la referencia.
Referrer Policy: no-referrer-when-downgrade
Feature Policy
Feature Policy ha sido reemplazada por la Permissions Policy
Permissions Policy
Con la Política de permisos se determina qué funciones del navegador y las APIs desea habilitar o deshabilitar. Estará familiarizado con los pop-ups de los sitios web que preguntan por su ubicación. Puede hacer que su sitio web comunique al navegador del visitante que, por ejemplo, no está pidiendo una ubicación (geolocation).
- geolocation
- midi
- notifications
- push
- sync-xhr
- microphone
- camera
- magnetometer
- gyroscope
- speaker
- vibrate
- fullscreen
- payment
permissions-policy: camera=(); geolocation=(); microphone=(); payment=();
Content Security Policy (CSP)
La Política de Seguridad de Contenidos define de qué fuentes aprobadas se permite al navegador del visitante cargar archivos (hojas de estilo CSS, bibliotecas de JavaScript, fuentes). Piensa por ejemplo en fuentes externas de Google, JQuery JavaScripts, etc.
Puede elegir colocar todas las fuentes externas en su propio sitio, o arreglar a través del CSP qué fuentes externas acepta. Es una contramedida efectiva contra los ataques de Cross Site Scripting (XSS).
content-security-policy: frame-ancestors 'self'
HTTP Strict Transport Security (HSTS)
A través de la Strict Transport Security de HTTP usted hace cumplir que toda la comunicación entre el visitante y su sitio web tiene lugar sobre una capa de transporte segura (https). Esto previene un ataque de hombre en el medio (MiTM). A través de HSTS su sitio web comunica al navegador que su sitio web funcionará vía https los próximos x días.
strict-transport-security: max-age=15768000
X Frame Options
Con el encabezado X-Frame-Options proteges a tus visitantes contra los ataques de clickjacking. En un ataque de clickjack un atacante puede robar alguna información CSS de su navegador web a través de un iframe. Esto puede evitarse definiendo opciones de fotogramas X. Pero también puedes controlar esto a través de los "antagonistas" de la Content Security Policy.
x-frame-options: SAMEORIGIN
¿Quieres saber más?
- Online Tool: Security Headers - check HTTP response headers
- Sitio web: Scott Helme's website on HTTP response headers
- Online Tool: The Mozilla Observatory
