X-Permitted Cross Domain Policies
Security Header // Cross-Site Scripting
Mai come adesso abbiamo la necessità in Italia di studiare ed essere aggiornati con la Security Header in termini di Cybersecurity.
Come visto nell'articolo precendente - - security-headers -
Spesso moti attacchi appunto avvengono attraverso Cross-Site.
Usando questo comado all'interno del fiel .htaccess:
Header set X-Permitted-Cross-Domain-Policies "none"
se usi prodotti Adobe come PDF, Flash...è possibile implementare questa intestazione per indicare al browser come gestire le richieste su un dominio incrociato.
Implementando questa intestazione, limiti il caricamento delle risorse del tuo sito da un altro dominio per evitare l'abuso di risorse.
Ci sono alcune opzioni disponibili oltre quella indicata sopra (none):
===================================================
Value = Descrizione
none = nessuna politica è consentita
master-only = consentire solo la politica principale
all = tutto è permesso
by-content-only = Consenti solo un determinato tipo di contenuto. Esempio: XML
by-ftp-only = applicabile solo per un server FTP
===================================================
Header set X-Permitted-Cross-Domain-Policies "Value"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set X-Permitted-Cross-Domain-Policies "master-only"
Header set X-Permitted-Cross-Domain-Policies "all"
Nello specifico si deve consultare: OWASP Secure Headers Project