Autor Zpráva
it47
Profil
Ahojte,

podla stranky securityheaders.io som pridal na svoju stranku nasledujuce headers:

header("Strict-Transport-Security: max-age=31536000; includeSubDomains");
header("X-Frame-Options: SAMEORIGIN");
header("X-XSS-Protection: 1; mode=block");
header("X-Content-Type-Options: nosniff");

1.) Mozem si tymto nieco pokazit?
2.) Nebude nacitanie stranky pomalsie?
3.) Mal by som pridat este nejake dalsie headers?

Vopred dakujem velmi pekne.
pcmanik
Profil
it47:
1. Nie
2. Nie
3. Jedine čo ma teraz napadá, je Header unset X-Powered-By - no nefunguje na všetkých hostingoch

A hlavičky patria štandartne do htaccess aby si ich mal pekne pokope.
TomášK
Profil
1. Ano. Říkáš, že všechny weby na dané doméně a všech poddoménách běží na HTTPS. Pokud to není pravda, tak jsi (na rok) zablokoval weby dostupné pouze přes HTTP pro návštěvníky, kteří viděli tyhle hlavičky.
it47
Profil
pcmanik:
A hlavičky patria štandartne do htaccess aby si ich mal pekne pokope.

Dakujem pekne za odpovede, mam to prosim vas spravne prerobene cez .httacess?

<IfModule mod_headers.c>
  Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  Header always append X-Frame-Options SAMEORIGIN
  Header set X-XSS-Protection "1; mode=block"
  Header set X-Content-Type-Options nosniff
</IfModule>

Vopred dakujem velmi pekne.
M02
Profil *
Asi jo. Jen hlavička X-XSS-Protection je celkem k ničemu a k X-Content-Type-Options nosniff bych osobně přikročil až ve chvíli, kdy by autodetekce MIME typů dělala nějaké potíže.
pcmanik
Profil
M02:
X-XSS-Protection je celkem k ničemu
Len v prípade ak je použitá hlavička Content-Security-Policy. A aj v tom prípade sa stále oplatí používať X-XSS-Protection, nakoľko staré prehliadače nepoznajú Content-Security-Policy.

X-Content-Type-Options nosniff bych osobně přikročil až ve chvíli, kdy by autodetekce MIME typů dělala nějaké potíže.
Nieje teda ale dôvod danú hlavičku nepoužívať, nie?
M02
Profil *
Ochrana proti XSS nespočívá v nějakých hlavičkách, ale v samotné kontrole obsahu, který se na webu objeví.
A sniffování datových typů může být užitečné ve chvíli, kdy není server správně (aktuálně) nakonfigurovaný a posílá text/plain nebo octet-stream i u souborů, které by znát měl. Což je překvapivě častý případ.

Obecně bych nepoužíval žádné hlavičky bez nějakého důvodu.
Enko
Profil
pcmanik:
1. Nie
2. Nie
Ad 1) Můžeš si tím pokazit webpro uživatele, který již tvůj web navštívil s touto hlavičkou a přestal by jsi používat SSL certifikát. Stránka by byla ve webbrowseru nepřístupná nebo označená za nedůvěryhodnou.
Ad2) Můžeš si tím pokazit web ve kterém záměrně načítáš tvůj web v iframu, přestal by fungovat.
Keeehi
Profil
M02:
Ochrana proti XSS nespočívá v nějakých hlavičkách, ale v samotné kontrole obsahu, který se na webu objeví.
Samozřejmě. Hlavičky jsou pak druhá vrstva ochrany. Pokud první selže (někde ti proklouzne neošetřený vstup), pak tě mohou zachránit alespoň hlavičky.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: