Intestazioni di sicurezza HTTP su non HTML (immagini, JavaScript, ecc.)

4

Diciamo che le intestazioni di sicurezza HTTP di seguito sono applicate a tutte le pagine HTML di un sito:

  • HTTP Strict Transport Security (HSTS)
  • X-Frame-Options (XFO)
  • X-XSS-Protection
  • X-Content-Type-Options

Va bene per non inserire le intestazioni di sicurezza HTTP su risorse non HTML (immagini, file JavaScript, ecc.) ma tali intestazioni vengono applicate a tutte le risorse HTML.

Qualche rischio per la sicurezza per questo?

    
posta htanata 10.02.2014 - 21:43
fonte

1 risposta

1

Dipende. Se il sito web accetta contenuti inviati dagli utenti, è meglio mantenere attive le intestazioni XSS e nosniff, nel caso in cui forniscano una scappatoia.

Anche la mancanza di HSTS va bene; tuttavia assicurati di avere i cookie separati da HTTP e HTTPS, per ogni evenienza.

    
risposta data 10.02.2014 - 23:16
fonte

Leggi altre domande sui tag