Cabeceras de seguridad
-
Estoy intentando añadir las cabeceras de seguridad a mi WordPress y quisiera pedir ayuda para poder cofigurarla correctamente para mi caso concreto. Hay alguna herramienta que analice la web y devuelva los valores que se han de añadir a estas cabeceras para que fucionen correctamente con una configuración concreta?
Uso widgets de anuncios de amazon y fineartamerica, de rss, un widget de facebook… y no quiero romper su funcionamiento.
Actualmente mis cabeceras son:
// Evitar que el navegador interprete incorrectamente el tipo de contenido header( 'X-Content-Type-Options: nosniff' ); // Prevenir ataques de clickjacking al especificar la política del frame header( 'X-Frame-Options: SAMEORIGIN' ); // Activar el filtro XSS en modo bloqueo para prevenir ataques header( 'X-XSS-Protection: 1;mode=block' ); // Establecer una política de seguridad de transporte estricta header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload"); // Establecer una política de seguridad de contenido para los elementos permitidos header( 'Content-Security-Policy: default-src https:; script-src https: \'unsafe-inline\'; style-src https: \'unsafe-inline\'; font-src https: data:; img-src https: data:;' ); // Añadir excepción para las imágenes WebP header( 'Content-Security-Policy: img-src https: data: https://fineartamerica.com *.webp;' ); // Establecer una política de permisos para las funcionalidades del navegador header("Permissions-Policy: accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(self), usb=()");
La web Webpagetest.org me da el siguiente aviso con el analisis Lighthouse:
Ensure CSP is effective against XSS attacks
A strong Content Security Policy (CSP) significantly reduces the risk of cross-site scripting (XSS) attacks.
script-src directive is missing. This can allow the execution of unsafe scripts.
Missing object-src allows the injection of plugins that execute unsafe scripts. Consider setting object-src to ‘none’ if you can.
Y en la consola de Chrome de desarrollador sale dos veces el siguiente mensaje:
Error with Permissions-Policy header: Unrecognized feature: ‘ambient-light-sensor’.
Agradeceré cualquier ayuda que podais prestarme. Saludos
La página con la que necesito ayuda: [accede para ver el enlace]
- El debate ‘Cabeceras de seguridad’ está cerrado a nuevas respuestas.