Security Headers Apache
Sicurezza Headers server Apache
Un'adeguata configurazione del server Web Apache può essere estremamente importante poiché a volte può impedire determinati attacchi.
Grazie a Netsparker ed al suo tool online https://securityheaders.com/ verificare il nostro di vulnerabilità.
Impostando questi comandi al file .htaccess:
Header set Content-Security-Policy "connect-src 'self';"
Header always set Referrer-Policy "same-origin"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Xss-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Feature-Policy "microphone 'none'; payment 'none'; sync-xhr 'self' https://ilmiosito.com"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Queste intestazioni vengono inviate dal server Web per attivare i meccanismi di sicurezza del browser che i browser utilizzano per impedire determinati attacchi ad applicazioni Web. Puoi trovare ulteriori informazioni su queste intestazioni in questa pagina OWASP . Se non sono configurati manualmente, queste intestazioni non vengono inviate dal server Apache e quindi i meccanismi di sicurezza del browser non vengono attivati.
Ovviamente queste Intestazione o comandi vanno analizzati in profondità, online https://securityheaders.com/ qui potrete testare e valutare la vostra situazione e studiare nel dettaglio tutto.