Recentemente, alcuni dei nostri server sono stati segnalati per non aver implementato le intestazioni HTTP appropriate in una scansione Qualys.
Uno dei siti che visito regolarmente: link ha implementato alcuni buoni header HTTP:
HTTP/1.1 200 OK
Date Mon, 26 Jun 2017 23:05:15 GMT
Content-Type text/html; charset=UTF-8
Transfer-Encoding chunked
Connection keep-alive
Set-Cookie __cfduid=d7bd211d03cddfc95f5d3b27f75db3e151498518314; expires=Tue, 26-Jun-18 23:05:14 GMT; path=/; domain=.pentestit.com; HttpOnly
X-XSS-Protection 1;mode=block
Referrer-Policy no-referrer-when-downgrade
Link <http://wp.me/8tJeS>; rel=shortlink
Vary Accept-Encoding
X-Mod-Pagespeed pentestit.com
Cache-Control max-age=0, no-cache, no-store, must-revalidate
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-UA-Compatible IE=Edge,chrome=1
Pragma no-cache
Content-Language en
Server cloudflare-nginx
CF-RAY 3753cf6c01ed6c88-SJC
Ad eccezione di Content-Security-Policy, sembra che stia facendo tutto correttamente.
Quali sono le tue opinioni sull'essere fallito per intestazioni HTTP errate? Ho provato a cercare informazioni relative a questo, ma non sono riuscito a trovare nulla.
Penso che questo dovrebbe essere un errore PCI in quanto tende a seguire la top 10 di OWASP che ha una Configurazione errata di A5-Security ( link ).
La mia domanda è - dovrei essere fallito per non aver implementato le intestazioni HTTP e NOT HTTPS corrette? Sto facendo tutte le altre cose correttamente, ma mancano alcune intestazioni HTTP.