Nagłówki HTTP w panelu

Dzień dobry,

Zauważyłem, że panel nie wysyła kluczowych nagłówków bezpieczeństwa, m.in.:

  • HSTS (HTTP Strict Transport Security) – nagłowek odpowiadający za informowanie przeglądarki, że do daty wyrażonej w sekundach od teraz, powinna łączyć tylko i wyłącznie się po protokole HTTPS;
  • CSP (Content Security Policy) – nagłówek, który z góry narzuca przeglądarce, z jakich źródeł może pobierać zasoby (np. fonty, cssy, skrypty javascript itd.), co znacznie utrudnia atak typu XSS.

Włączenie HSTS to kwestia przełączenia jednego przełącznika w Cloudflare z którego lvlup.pro zresztą korzysta.

Dodanie CSP może być nieco bardziej złożone, w zależności z jakich zasobów zewnętrznych korzysta lvlup.pro i dodanie domen do dozwolonych list lub przeniesienie ich na domenę lvlup.pro

Serdecznie życzę miłego dnia,
Axerr :slight_smile:

2 polubienia

Wyżej wymieniłem jedynie te najistotniejsze. Istnieją jeszcze takie jak:

  • X-Frame-Options – można łatwo zablokować atak typu clickjacking, ktory może być bardzo niebezpieczny!
  • Referer-Policy – można ustawić blokowanie wysyłanie nagłowka referer przy kliknięciu w link. To bardziej do wdrozenia (jeżeli jeszcze nie zostało wdrożone) dla panelu administracyjnego ticketów obsługi lvlup, żeby nie zdradzać adresu systemu ticketów, gdy obsługa otworzy (złośliwego?) linka, który taki Referer zapisuje.
  • X-XSS-Protection – przeglądarki mają wbudowany system wykrywania XSS. Jeżeli wykryją taki atak to skrypt zostanie zablokowany automatycznie przez przeglądarkę, jednak nagłówek musi być wysłany, żeby opcja została aktywowana.

Hej, dzięki za sugestie.

Z tej całej listy z tego co pamiętam konfigurowałem przynajmniej X-Frame-Options ale z tego co widzę nie jest on obecnie wysyłany do usera :thonking:
Możliwe, że jakaś po drodze wprowadzona zmiana go wycina.
Przyjrzę się temu.

2 polubienia