Implementación de cabeceras de seguridad
Implementación de cabeceras de seguridad en servidores Apache
Implementación realizada en apache 2.4 y Debian
Instalación de cabeceras de seguridad
# a2enmod headersConfiguración del archivo security.conf:
# nano /etc/apache2/conf-enabled/security.confModificar los siguientes valores:
Header set X-Content-Type-Options: "nosniff"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Referrer-Policy: "no-referrer"
Header set X-XSS-Protection: "1; mode=block"Finalmente reiniciar el servidor:
systemctl restart apache2Implementación de cabeceras de seguridad en servidores Nginx
Implementación realizada en Nginx y Debian
Ir al directorio /etc/nginx/conf.d/ e ingresar al archivo de configuración .conf que este utilizando.
Abrir el archivo de configuración y agregar las siguientes líneas al bloque server:
# Configuración de cabeceras de seguridad
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'";Reiniciar el servidor nginx:
sudo systemctl restart nginxImplementación de cabeceras de seguridad en servidores ISS
Configuración en el Servidor IIS, para su configuración, en la ventana encabezados de respuesta HTTP, haga clic en agregar en el panel derecho de acciones y luego ingrese los detalles del encabezado como se muestra a continuación.
Strict-Transport-Security
El valor “max-age=63072000” es el número de segundos que se establece para que la navegación haga uso del encabezado.
X-Frame-Options
X-Content-Type-Options
Content-Security-Policiy
