Le migliori header

1

risposta

Le intestazioni HTTP Security dovrebbero essere configurate per tutti i server?

Riconosco l'importanza della configurazione delle intestazioni di sicurezza HTTP (X-Frame-Options, X-XSS-Protection e X-Content-Type-Options) per i server Web (e altri server che si affacciano su Internet come loadbalancer). Ma è necessario per...

posta 14.12.2018 - 10:41

0

risposte

Il token CSRF è gestito tramite le intestazioni HTTP sicure?

Sto creando una protezione CSRF sulla mia applicazione e mi sto chiedendo quale sia il modo migliore (o almeno meno sicuro) per trasmettere il mio token CSRF. L'applicazione applica HTTPS, con TLS1.2. Quando genero il token sul lato server, d...

posta 07.10.2017 - 23:35

0

risposte

Quali intestazioni HTTP suggerisci generalmente di usare? [chiuso]

Ritengo che ci siano molte variazioni nelle intestazioni HTTP suggerite. Di solito vedo suggerimenti per: HTTP Strict Transport Security Content Security Policy X-Frame-Options (stessa origine) X-Xss-Protection...

posta 12.03.2017 - 15:13

1

risposta

Verifica le impostazioni CORS non sicure con cURL

Sto provando a verificare le impostazioni CORS di un sito web usando cURL. Il seguente comando dovrebbe permettermi di verificare se le impostazioni CORS possono essere considerate sicure o se è possibile effettuare richieste tra le origini....

posta 15.11.2017 - 16:20

1

risposta

Implementazione dell'intestazione di sicurezza HTTP

Qualcuno sa se: Opzioni X-Frame Protezione X-XSS X-Content-Type-Options Content-Security-politica sono per HTTP e: Strict-Transport-Security Public-Key-Pins sono per HTTPS? Ciò che intendo è che se ho un blog che serve p...

posta 21.08.2017 - 22:08

1

risposta

Intestazione CSP default-src: data:

Sto testando l'implementazione dell'intestazione CSP. Il valore di intestazione implementato è: Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' X-Content-Secu...

posta 07.05.2018 - 20:06

1

risposta

Confusione che questa risposta indichi la vulnerabilità di CORS

HTTP/1.1 200 OK Content-Type: application/json Content-Length: 12 Connection: close Date: Tue, 25 Sep 2018 12:59:56 GMT x-amzn-RequestId: xxxxxxxxxxx Access-Control-Allow-Origin: * Access-Control-Allow-Headers: Content-Type,Authorization,Accept,X...

posta 25.09.2018 - 15:19

1

risposta

Considerazioni PCI per le intestazioni HTTP? [chiuso]

Recentemente, alcuni dei nostri server sono stati segnalati per non aver implementato le intestazioni HTTP appropriate in una scansione Qualys. Uno dei siti che visito regolarmente: link ha implementato alcuni buoni header HTTP: HTTP/1.1...

posta 27.06.2017 - 01:20

1

risposta

Che cos'è uno schema di sfruttamento in questo attacco XSS? [duplicare]

Fondamentalmente, ho trovato un'iniezione XSS cambiando il carico utile con l'intestazione X-Forwarded-Host , poiché il suo valore si riflette nel documento e non è sterilizzato. Un esempio, questa è la fonte del documento: <a href...

posta 23.10.2017 - 21:35

1

risposta

Vulnerabilità dell'iniezione dell'host Codici HTTP riusciti? [chiuso]

Sto cercando di sfruttare la vulnerabilità di Injection Injection di un sito Web. Se cambio l'host o aggiungo un altro host, quali sono tutti i codici di risposta HTTP che mi diranno di una vulnerabilità legata all'iniezione di host HTML di s...

posta 26.03.2017 - 17:21

Domande con tag 'header'