¿Qué son las cabeceras de seguridad? Las cabeceras de seguridad HTTP son una parte fundamental de la seguridad de un sitio web, pero a menudo se pasan por alto. Cuando un visitante accede a su sitio web, el navegador envía una petición a su servidor. Además de los bloques de construcción de su sitio web, el servidor también envía cabeceras de respuesta HTTP, indicando al navegador cómo debe gestionarse la comunicación mientras se navega por su sitio web. Estas respuestas le dirán al navegador que se asegure de que el visitante está a salvo de ataques maliciosos mientras se desplaza por el contenido o realiza un pago en una tienda web. Proteger a los visitantes de su sitio web es fundamental. No omita las cabeceras de seguridad antes de publicar su sitio web. ¿Necesito cabeceras de seguridad? No sólo necesita cabeceras de seguridad, sino que le recomendamos encarecidamente que compruebe todas las cabeceras con regularidad para ver si se ha producido algún cambio en los valores. Es posible que algunas cabeceras de seguridad ya no sean válidas, que estén obsoletas o que se puedan implementar cabeceras de seguridad más nuevas. Mantenga sus cabeceras de seguridad actualizadas para defenderse de las nuevas e ingeniosas formas en que los atacantes hacen mal uso de su sitio web.
Código
HTTP Strict Transport Security (HSTS): Recommended: includeSubDomains; preload; max-age=63072000
Permissions-Policy: Recommended: Do not use *. e.g. for the camera feature: camera=('self'), camera=() or camera=('yourdomain.com')
Referrer-Policy: Recommended: strict-origin-when-cross-origin
X-Content-Type-Options: Recommended: nosniff
X-Frame-Options: Recommended: SAMEORIGIN or DENY
X-XSS-Protection: Recommended: 0
Content-Security-Policy: Recommended: upgrade-insecure-requests, frame-ancestors, script-src, style-src to explicitly tell which sources and styles are allowed on your site.
Cabeceras en bruto:
HTTP/1.1 200 OK
Date: Fri, 20 Sep 2024 09:22:23 GMT
Server: Apache
Last-Modified: Tue, 03 Sep 2024 12:25:06 GMT
ETag: "138bf-6213625c85166"
Accept-Ranges: bytes
Content-Length: 80063
Vary: Accept-Encoding,User-Agent
Referrer-Policy: no-referrer-when-downgrade
Pragma: public
Cache-Control: max-age=3600, public
Content-Type: text/html; charset=UTF-8