X-Permitted Cross Domain Policies

Security Header // Cross-Site Scripting

Mai come adesso abbiamo la necessità in Italia di studiare ed essere aggiornati con la Security Header in termini di Cybersecurity.
Come visto nell'articolo precendente - - security-headers -

Spesso moti attacchi appunto avvengono attraverso Cross-Site.
Usando questo comado all'interno del fiel .htaccess:

Header set X-Permitted-Cross-Domain-Policies "none"

se usi prodotti Adobe come PDF, Flash...è possibile implementare questa intestazione per indicare al browser come gestire le richieste su un dominio incrociato.
Implementando questa intestazione, limiti il ​​caricamento delle risorse del tuo sito da un altro dominio per evitare l'abuso di risorse.

Ci sono alcune opzioni disponibili oltre quella indicata sopra (none):
===================================================
Value = Descrizione
none = nessuna politica è consentita
master-only = consentire solo la politica principale
all = tutto è permesso
by-content-only = Consenti solo un determinato tipo di contenuto. Esempio: XML
by-ftp-only = applicabile solo per un server FTP
===================================================

Header set X-Permitted-Cross-Domain-Policies "Value"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set X-Permitted-Cross-Domain-Policies "master-only"
Header set X-Permitted-Cross-Domain-Policies "all"

Nello specifico si deve consultare: OWASP Secure Headers Project