Cabeceras de seguridad en Apache - PHP




Existen diferentes cabeceras o headers de seguridad para sitios web brindando una seguridad extra a los usuarios.

X-Content-Type

Para evitar algunos tipos de drive-by-descargas. Está opción rechazará las respuestas con tipos MIME incorrectos si el servidor envía la respuesta de cabecera "X-Content-Type-Opciones: NOSNIFF". Esta es una característica de seguridad que ayuda a prevenir los ataques basados ​​en el tipo MIME confusión. evitando que se envie al navegador el archivo.

en .htaccess


Header set X-Content-Type-Options nosniff

en PHP

header('X-Content-Type-Options:nosniff');

Preveer Ataques Clickjacking

Las posibles opciones de esto son:

  • SAMEORIGIN: Esta configuración permitirá que la página que se mostrará en el marco en el mismo origen que la propia página.
  • DENY: Esta configuración evitará una página que muestra en un marco o un iframe.
  • ALLOW-FROM uri: Esta configuración permitirá que la página que se mostrará sólo en el origen especificado.

en .htaccess


Header always append X-Frame-Options SAMEORIGIN

en PHP

header('X-Frame-Options:SAMEORIGIN');

XSS-Protection

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que poseen los navegadores nuevos.

Se trata de una capa de seguridad adicional que bloquea ataques XSS

en .htaccess


Header set X-XSS-Protection “1; mode=block”

en PHP

header('X-XSS-Protection:1;mode=block');

HTTP Strict Transport Security (abreviado como HSTS)

Es una capa de seguridad que le indica a los navegadores que deben usar el protocolo HTTPS

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Resumiendo:

.htacces


header('X-Content-Type-Options:nosniff');
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection “1; mode=block”

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

header.php

header('X-Content-Type-Options:nosniff');
header('X-Frame-Options:SAMEORIGIN');
header('X-XSS-Protection:1;mode=block');
$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Verificar con Mozilla
Observatory.Mozilla

Revisar tu sitio:
Sucuri

Lectura recomendada:
Sucuri



Otras artículos de interés:

Crear Servidor DHCP
Las siglas DHCP significan Dinamic Host Configuration Protocol. Es utilizado para grandes redes. El daemon actúa dándole información de la red a las estaciones de trabajo, tales como IP Address, Subnet Mask, DNS Serve...
Apache con PHP y MySQL en Ubuntu (LAMP)
Instalamos Apache: sudo apt-get install apache2 Nos pedir&aac...
El gran debate: la seguridad por oscuridad
Por: Jesper M. Johansson and Roger Grimes De un vistazo: Definición de seguridad por oscuridad Evaluación de medidas en la seguridad por oscuridad Evaluación del valor del cambio de nombre de la cuenta de...
Problem with MergeList /var/lib/apt/lists (Ubuntu / LinuxMint)
Es un error que suele ocurrir cuando un archivo de actualizacion esta corrupto. Para reparar este error es sencillo: Abrir consola: sudo nautilus Ir a la carpeta /var/lib/apt/lists/ y elim...
Conocer Dispositivos USB, Unidades, Particiones en Linux - Debian - Ubuntu y Derivados
Para conocer que Dispositivos y particiones tenemos actualmente en nuestro sistema usaremos el comando lsblk. lsblk nos da información sobre los dispositivos de bloques de nuestro sistema. Lee la inform...
Límites de usuario, grupos y procesos en GNU/Linux
Es necesario comprobar el limite que poseen los usuario y grupos de nuestros sistemas, en caso contrario el sistema podría experimentar inestabilidad o una falla de respuesta. Entre las limitaciones pueden ser: - Núm...
Descripción General de la Funcionalidad del Firewall en la Conexión a Internet
Inicialmente cuando las redes fueron creadas, se pretendía que se conectaran computadoras confiables. Con el transcurso del tiempo, las agrupaciones de redes llegaron a conectarse, introduciendo la capacidad de que una entidad desconocida de una r...
Configurar Plymouth Ubuntu / LinuxMint
Plymouth es un programa de arranque de sistema en modo gráfico que despliega una animación mientras la computadora se inicia, ha sido desarrollado como reemplazo de RHGB (Red Hat Graphical Boot) y escrito como un nuevo progr...
Transparent Hugepages en Debian y derivados
Para hablar de Transparent Hugepages (THP) primero debemos conocer como se maneja la memoria en nuestro sistema, La memoria se maneja en bloques llamados paginas; una pagina tiene un tamaño de 4096 bytes, 1 Mb es equivalente a 256 p...
Hardlink para reducir el espacio ocupado en disco (GNU/Linux)
Hardlink es una herramienta que detecta múltiples copias de un archivo (iguales) y las reemplaza con enlaces duros, teniendo como resultado una reducción de espacio utilizado en el disco. Su instalación es bas...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cabeceras
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra