Autor | Zpráva | ||
---|---|---|---|
it47 Profil |
#1 · Zasláno: 18. 4. 2017, 11:34:20
Ahojte,
podla stranky securityheaders.io som pridal na svoju stranku nasledujuce headers: header("Strict-Transport-Security: max-age=31536000; includeSubDomains"); header("X-Frame-Options: SAMEORIGIN"); header("X-XSS-Protection: 1; mode=block"); header("X-Content-Type-Options: nosniff"); 1.) Mozem si tymto nieco pokazit? 2.) Nebude nacitanie stranky pomalsie? 3.) Mal by som pridat este nejake dalsie headers? Vopred dakujem velmi pekne. |
||
pcmanik Profil |
#2 · Zasláno: 18. 4. 2017, 12:35:02
it47:
1. Nie 2. Nie 3. Jedine čo ma teraz napadá, je Header unset X-Powered-By - no nefunguje na všetkých hostingoch A hlavičky patria štandartne do htaccess aby si ich mal pekne pokope. |
||
TomášK Profil |
#3 · Zasláno: 18. 4. 2017, 13:05:26
1. Ano. Říkáš, že všechny weby na dané doméně a všech poddoménách běží na HTTPS. Pokud to není pravda, tak jsi (na rok) zablokoval weby dostupné pouze přes HTTP pro návštěvníky, kteří viděli tyhle hlavičky.
|
||
it47 Profil |
#4 · Zasláno: 18. 4. 2017, 14:32:56
pcmanik:
„A hlavičky patria štandartne do htaccess aby si ich mal pekne pokope.“ Dakujem pekne za odpovede, mam to prosim vas spravne prerobene cez .httacess? <IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" Header always append X-Frame-Options SAMEORIGIN Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff </IfModule> Vopred dakujem velmi pekne. |
||
M02 Profil * |
#5 · Zasláno: 18. 4. 2017, 23:26:49
Asi jo. Jen hlavička X-XSS-Protection je celkem k ničemu a k X-Content-Type-Options nosniff bych osobně přikročil až ve chvíli, kdy by autodetekce MIME typů dělala nějaké potíže.
|
||
pcmanik Profil |
#6 · Zasláno: 19. 4. 2017, 12:03:39
M02:
„X-XSS-Protection je celkem k ničemu“ Len v prípade ak je použitá hlavička Content-Security-Policy. A aj v tom prípade sa stále oplatí používať X-XSS-Protection, nakoľko staré prehliadače nepoznajú Content-Security-Policy. „X-Content-Type-Options nosniff bych osobně přikročil až ve chvíli, kdy by autodetekce MIME typů dělala nějaké potíže.“ Nieje teda ale dôvod danú hlavičku nepoužívať, nie? |
||
M02 Profil * |
#7 · Zasláno: 19. 4. 2017, 12:20:18
Ochrana proti XSS nespočívá v nějakých hlavičkách, ale v samotné kontrole obsahu, který se na webu objeví.
A sniffování datových typů může být užitečné ve chvíli, kdy není server správně (aktuálně) nakonfigurovaný a posílá text/plain nebo octet-stream i u souborů, které by znát měl. Což je překvapivě častý případ. Obecně bych nepoužíval žádné hlavičky bez nějakého důvodu. |
||
Enko Profil |
#8 · Zasláno: 19. 4. 2017, 13:29:14
pcmanik:
> 1. Nie > 2. Nie Ad 1) Můžeš si tím pokazit webpro uživatele, který již tvůj web navštívil s touto hlavičkou a přestal by jsi používat SSL certifikát. Stránka by byla ve webbrowseru nepřístupná nebo označená za nedůvěryhodnou. Ad2) Můžeš si tím pokazit web ve kterém záměrně načítáš tvůj web v iframu, přestal by fungovat. |
||
Keeehi Profil |
#9 · Zasláno: 19. 4. 2017, 15:23:45
M02:
„Ochrana proti XSS nespočívá v nějakých hlavičkách, ale v samotné kontrole obsahu, který se na webu objeví.“ Samozřejmě. Hlavičky jsou pak druhá vrstva ochrany. Pokud první selže (někde ti proklouzne neošetřený vstup), pak tě mohou zachránit alespoň hlavičky. |
||
Časová prodleva: 7 let
|
0