Le intestazioni HTTP Security dovrebbero essere configurate per tutti i server?

Naviga le tue risposte
2

Riconosco l'importanza della configurazione delle intestazioni di sicurezza HTTP (X-Frame-Options, X-XSS-Protection e X-Content-Type-Options) per i server Web (e altri server che si affacciano su Internet come loadbalancer). Ma è necessario per i server non di fronte a Internet?

    
posta ellefc 14.12.2018 - 10:41
fonte

1 risposta

0

Supponiamo che tu abbia un'app in esecuzione su app.example.com sulla tua rete locale e la rendi accessibile su Internet tramite un proxy inverso su web.example.com . Vorrei impostare le intestazioni su app per una serie di motivi:

  • Si desidera mantenere la logica dell'applicazione vicino all'app. Le intestazioni non sono una taglia unica. Devi capire cosa stai servendo per sapere come impostarli. Quindi ha più senso impostarli su app.example.com .
  • Gli utenti della tua intranet potrebbero sfogliare direttamente a app.example.com , apposta o per errore. Dovrebbero comunque ottenere il proteciton.
  • Se un utente malintenzionato conosce l'URL a app.example.com , potrebbe sfruttarlo in un attacco contro gli utenti della tua intranet. Se non può incorporare web.example.com in un iframe su evil.com per il suo attacco, può semplicemente incorporare app.example.com .

Se hai un livello minimo di protezione che vuoi avere tutto (forse vuoi sempre che la protezione XSS sia attiva), puoi impostarla su web.example.com e anche su una sicurezza extra.

    
risposta data 14.12.2018 - 13:57
fonte

Leggi altre domande sui tag

Consigli per la distribuzione delle chiavi Si deve utilizzare Framebusting (non utilizzato) su una pagina di accesso IdP?