Cabeceras de seguridad en Apache - PHP





Existen diferentes cabeceras o headers de seguridad para sitios web brindando una seguridad extra a los usuarios.

X-Content-Type

Para evitar algunos tipos de drive-by-descargas. Está opción rechazará las respuestas con tipos MIME incorrectos si el servidor envía la respuesta de cabecera "X-Content-Type-Opciones: NOSNIFF". Esta es una característica de seguridad que ayuda a prevenir los ataques basados ​​en el tipo MIME confusión. evitando que se envie al navegador el archivo.

en .htaccess


Header set X-Content-Type-Options nosniff

en PHP

header('X-Content-Type-Options:nosniff');

Preveer Ataques Clickjacking

Las posibles opciones de esto son:

  • SAMEORIGIN: Esta configuración permitirá que la página que se mostrará en el marco en el mismo origen que la propia página.
  • DENY: Esta configuración evitará una página que muestra en un marco o un iframe.
  • ALLOW-FROM uri: Esta configuración permitirá que la página que se mostrará sólo en el origen especificado.

en .htaccess


Header always append X-Frame-Options SAMEORIGIN

en PHP

header('X-Frame-Options:SAMEORIGIN');

XSS-Protection

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que poseen los navegadores nuevos.

Se trata de una capa de seguridad adicional que bloquea ataques XSS

en .htaccess


Header set X-XSS-Protection “1; mode=block”

en PHP

header('X-XSS-Protection:1;mode=block');

HTTP Strict Transport Security (abreviado como HSTS)

Es una capa de seguridad que le indica a los navegadores que deben usar el protocolo HTTPS

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Resumiendo:

.htacces


header('X-Content-Type-Options:nosniff');
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection “1; mode=block”

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

header.php

header('X-Content-Type-Options:nosniff');
header('X-Frame-Options:SAMEORIGIN');
header('X-XSS-Protection:1;mode=block');
$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Verificar con Mozilla
Observatory.Mozilla

Revisar tu sitio:
Sucuri

Lectura recomendada:
Sucuri



Otras artículos de interés:

Instalar NTP en CentOS 6
Desde la consola: Instalamos: yum install ntp ntpdate Activamos el servicio: chkconfig ntpd on Iniciamos el servicio servicio ntpd start ...
Sincronizar tus archivos locales con box.com - Debian - Ubuntu y Derivados
Ya hemos publicado como sincronizar nuestros archivos en la nube en Pcloud y Google Drive. Recuerda que tambien puedes hacerlos con Mega y Dropbox que ya treaen clientes linux bastante amigable. Por lo que ya no hay excusas para que pierdas tu dat...
Seguridad Básica en GNU/Linux (I Parte)
En estas páginas nos centraremos en cómo aumentar la seguridad en sistemas basados en el sistema operativo GNU/Linux. Su gratuidad, flexibilidad, potencia, apertura, facilidad para obtención de herramientas y otras muchas virtud...
Crack WiFi con GUI app en Ubuntu
Varias veces me han preguntado como puedo usar determinada wifi que posea clave de acceso. Hay diferentes métodos usando linux, el más sencillo es el siguiente: Instalar los siguientes paquetes por consola: ...
Nmap en el Punto de Mira
Este texto es extraído de la e-revista SET37 de Saqueadores Ediciones Técnicas (http://www.set-ezine.org) donde explican el uso de ...
Como instalar y usar Ndiswrapper en Ubuntu
Muchos de ustedes tienens problemas con Ubuntu porque no detecta la tarjeta de red (ya sea interna o inalambrica tipo llave USB) y no pueden conectar a Internet. Esto en parte no es culpa de Ubuntu o de ningun otro Linux, le podriamos dar un pequ...
Instalar pcloud en Debian, Ubuntu, Linux Mint y derivados
pcloud es un sistema de almacenaje en la nube similar a Mega y Dropbox, te otorga 10 GB gratis. Es una alternativa más para mantener tus archivos respaldados en la nube, uno nunca sabe cuando el disco duro pueda dañarse o cualquier otro problema...
RFP (Request for Proposal) de seguridad informática
La famosa Solicitud de Propuesta o Request for Proposal (RFP) como suele llamársela es uno de los documentos más importantes para los responsables de la seguridad informática de cualquier organización. Ventajas ...
Colocar OpenOffice en español en Ubuntu
Si has instalado OpenOffice usualmente viene por defecto en Ingles si deseas cambiarlo a español solo ejecuta estos 2 comandos por consola: sudo apt-get install openoffice.org-help-es sudo apt-get install openoffice.org-l10...
Instalar Kernel 4.7 en Ubuntu - Linux Mint - Xanadu
Hemos publicado en diferentes oportunidades la forma de cambiar el kernel en nuestro Linux, bien sea que usemos Debian, Ubuntu, Linuxt Mint o Xanadu. ...

Brindanos
un o una


Redes Sociales

Publicidad

Hostin Web ViSerProject

Categorías


Planeta Vaslibre

Blog Roll


Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cabeceras
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra