Ho appena provato google su securityheaders.io e il risultato è stato D .
Google in realtà non sta impostando le seguenti intestazioni di sicurezza
Ho sempre considerato Google come leader in molte aree di sicurezza. Le intestazioni di cui sopra fanno parte della normale pratica di difesa in profondità.
Qualcuno potrebbe fornire una spiegazione logica dietro a questo? Perché Google non li sta implementando?
Definire una buona politica di sicurezza dei contenuti per un'applicazione complessa esistente è spesso non banale. È sicuro dire che gli sforzi sono in corso per implementare CSP su Google , ma immagina il costo di potenziali rotture su tale posto. Ricorda inoltre che alcuni utenti non beneficerebbero di un CSP, a causa dell'uso di browser meno recenti, quindi altre difese devono ancora esistere.
La politica dei referenti è in realtà non desiderabile su un motore di ricerca. Molti operatori di siti Web utilizzano il referrer per determinare quali parole chiave sono state utilizzate per accedere al proprio sito, il che consente di ottimizzare i contenuti del proprio sito e comprendere meglio la propria base di utenti per generare contenuti più pertinenti.
X-Content-Type-Options non è usato per la maggior parte dei browser, e anche quando lo è, importa solo se un utente malintenzionato può controllare una parte significativa dell'inizio della risposta.
Comprendo a fondo i principi della difesa, ma ovviamente la sicurezza non esiste nel vuoto e deve considerare aspetti operativi e aziendali. Come sottolineato da @LvB, le intestazioni di sicurezza in una pagina di ricerca sono molto diverse dalle proprietà con maggiore sensibilità, come accounts.google.com e mail.google.com, che totalizzano un punteggio A.
(Tutto questo è solo speculazione e non so quale sia la risposta ufficiale.)
Leggi altre domande sui tag xss content-security-policy