Sto eseguendo una scansione di sicurezza su un sito Web e lo strumento ZAP riporta che mancano alcune intestazioni sicure per js e pagine HTML statiche. Va bene ignorare gli avvisi?
Sto eseguendo una scansione di sicurezza su un sito Web e lo strumento ZAP riporta che mancano alcune intestazioni sicure per js e pagine HTML statiche. Va bene ignorare gli avvisi?
Quello che penso significhi, è che devi proteggere il tuo sito dagli attacchi XSS che impongono le tue origini js / css.
1. Content-Security-Policy: ti consente di limitare l'origine
Content-Security-Policy: script-src 'self'
https://apis.google.com
2. X-Frame-Options: Stop Clickjacking
X-Frame-Options: DENY
3. X-Content-Type-Options: applica il tipo di contenuto
X-Content-Type-Options: nosniff
Content-Type: text/plain
4. Strict-Transport-Security: applica HTTPS
Strict-Transport-Security: max-age=31536000; includeSubDomains
5. X-Requested-With: previene gli attacchi CSRF
X-Requested-With: XMLHttpRequest
Tieni presente che alcune di queste intestazioni non sono tutte compatibili con browser. Leggi il link sorgente qui sotto e usa quelli che ritieni adatti per il tuo progetto.
Fonte: link
Leggi altre domande sui tag secure-coding appsec