Descripción: Content Security Policy (CSP) es una capa de seguridad adicional que ayuda a prevenir y mitigar algunos tipos de ataque, como Cross Site Scripting (XSS) y ataques de Inyección de Datos. Estos ataques son usados con diversos propósitos, desde robar información hasta desfiguración de sitios o distribución de malware.

  • Configuración en IIS Internet Information Server

IIS permite configurar un encabezado HTTP, la cual aplicará para todo el contenido en un servidor, sitio o aplicación web. Para realizar este procedimiento es necesario hacerlo desde el administrador del IIS y navegar hasta el nivel que se desea modificar.

En vista de funciones, hacer doble clic en Encabezados de respuesta HTTP.

En la página Encabezados de respuesta HTTP, en el panel de Acciones, hacer clic en Agregar.

En el cuadro de diálogo Agregar el encabezado de respuesta HTTP personalizado, escribir un nombre y un valor o conjunto de valores separados por comas (,).

  • Configuración sobre Apache HTTP Server

La configuración de encabezados HTTP puede agregarse por medio del archivo apache2.conf (/etc/apache2/apache2.conf) y agregando la configuración necesaria para encabezados a implementar.

  • Configuración sobre Apache Tomcat

La configuración de encabezados HTTP puede agregarse por medio del archivo web.xml (/apache-tomcat-xx/conf/web.xml) y agregando la configuración necesaria para encabezados a implementar.

Valores de configuración

X-Frame-Options
La opción X-Frame se puede usar para indicar si el navegador permite frame/iframe. Un atacante podría usar su sitio en un iframe de otro. Esto se puede evitar con el encabezado XFO.
DENY: Permite mostrar la página en un frame.
SAMEORIGIN: La página sólo se puede frame en un marco en el mismo origen que la página misma.
ALLOW-FROM https://example.com/: La página sólo puede ser mostrada por un frame de example.com.

Content-Security-Policy
default-src ‘self’: Permitir todo el contenido que proviene del sitio original
default-src ‘self’ *.trusted.com: permitir el contenido de un dominio de confianza y todos sus subdominios (no tiene que ser el mismo dominio en el que se establece el CSP).

X-XSS-Protection
Este encabezado se usa para prevenir los ataques XSS que eliminan las partes inseguras de las inyecciones de script entre sitios.
0 : Filtro XSS deshabilitado
1 : Filtro XSS habilitado y desinfección de la página si detecta un ataque
1;mode=block : Filtro XSS activo y no permite recargar la página si se detecta un ataque
1;report=http://localhost/report_URI : Filtro XSS habilitado e informe de la violación si se detecta un ataque

Referencias:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753133(v=ws.10)
https://www.codeproject.com/Articles/1223383/Securing-HTTP-response-header-via-IIS
https://developer.mozilla.org/es/docs/Web/HTTP/CSP
https://content-security-policy.com/
https://vk4u.wordpress.com/2017/03/02/how-to-enable-security-filters-in-tomcat/
https://www.maketecheasier.com/securing-apache-ubuntu-2/

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like