Domande con tag 'header'

1
risposta

In che modo X-XSS-Protection: "0" influisce sulla sicurezza del mio sito web?

In che modo la disattivazione della protezione XSS influisce sul mio sito web? Quali vulnerabilità di sicurezza si apre? Il mio sito richiede l'utilizzo dell'intestazione su determinate pagine, quindi cosa posso fare per proteggere le pagine con...
posta 11.11.2015 - 19:42
2
risposte

Per quali tipi di contenuto è consigliato impostare l'intestazione X-XSS-Protection?

Si potrebbe probabilmente suggerire di impostare questa intestazione per tutte le risposte da un server web (sto pensando a value="1; mode = block"). Tuttavia, ha senso impostarlo quando serve, ad esempio, le immagini? File CSS? Risposte JSON...
posta 09.02.2017 - 19:22
1
risposta

Convalida del tipo di contenuto nelle API REST

Sto provando a capirlo, perché è consigliabile convalidare il content-type , inviato da un client a un'API REST. Gli stati di OWASP nella scheda Trucchi sulla sicurezza REST : When POSTing or PUTting new data, the client will specif...
posta 22.03.2017 - 14:19
1
risposta

Vale la pena verificare la richiesta nome host nelle comunicazioni API-API?

Durante l'autenticazione da un'applicazione browser a un livello API, è possibile verificare l'origine della richiesta per le richieste CORS. Sono consapevole che questo è principalmente per prevenire gli attacchi CSRF. Non impedisce a un utente...
posta 10.12.2017 - 20:49
2
risposte

L'intestazione X-Permitted-Cross-Domain-Policies ha dei vantaggi per il mio sito Web se non utilizzo prodotti Adobe?

OWASP dice che l'intestazione di sicurezza X-Permitted-Cross-Domain-Policies fornisce ai client Web " il permesso di gestire i dati attraverso domini ". In particolare, afferma che Adobe Flash Player e Acrobat PDF Reader utilizzano questa intest...
posta 26.07.2017 - 01:39
2
risposte

Posso fidarmi dell'intestazione Host ricevuta nella richiesta?

La domanda è molto semplice: posso fidarmi del valore dell'intestazione Host? Stiamo sviluppando un'applicazione che serve alcune risorse via HTTP e non desideriamo avere alcuni servizi privati e altri pubblici. Abbiamo domini interni c...
posta 27.01.2016 - 14:48
2
risposte

L'intestazione Origin è davvero utile per proteggere un WebSocket?

Ho letto alcuni post sulla sicurezza WebSockets e alcuni di loro menzionano di usare l'intestazione Origin per aiutare a proteggere la connessione. Ad esempio questo link . Tuttavia, sono davvero dubbioso sui benefici che fornirà. Perché dov...
posta 25.02.2016 - 10:34
1
risposta

Le richieste senza intestazione UserAgent sono un rischio?

Un servizio che uso ha deciso di bloccare le richieste HTTP che non forniscono un agente utente, citando ragioni di sicurezza. Per quanto ne so, UserAgent è una stringa senza un formato standard utilizzato principalmente per le statistiche, c...
posta 30.07.2016 - 00:59
1
risposta

X-Frame-Options Assente ma non posso caricare la pagina in iframe

Sto cercando di trovare il motivo per cui una determinata pagina web non viene decodificata anche quando l'intestazione X-Frame-Options è assente. Osservazione: Quando scrivo un codice HTML con tag iframe che punta all'URL e salvo localmente q...
posta 13.05.2017 - 19:57
3
risposte

Che cosa fanno i dati POST di HackBar (componente aggiuntivo per Firefox)?

Che cosa fa la funzione POST DATA di Hackbar (Addon of Firefox)? Se sto verificando la vulnerabilità di XML XXE lo uso. Ma cosa fa POST di alcuni dati? Se voglio ripetere la stessa cosa usando Burp Suite, come faccio a fare questo?
posta 25.05.2017 - 15:02