Quels sont les champs importants dans l'en-tête HTTP du point de vue de la sécurité? J'ai essayé de google mais incapable de trouver. Quelqu'un peut-il me fournir un lien pour en savoir plus? Merci d'avance.
Quels sont les champs importants dans l'en-tête HTTP du point de vue de la sécurité?
En matière de sécurité, la réponse la plus sûre consiste à prendre en compte tout tout en accordant la priorité aux éléments que les attaquants sont censés exploiter.
Les en-têtes renvoyés par votre serveur à la suite d’une demande sont importants pour les attaquants ( en particulier champs qui exposent les informations sur le logiciel/la version de votre serveur Web ou autorisent l’attaquant à profiler le serveur). (... et +1 pour les directives mod_header de John Conde sur ce point - cela ne fait pas de mal de demander aux navigateurs clients d'appliquer les règles CSRF/XSS)
Les en-têtes que votre serveur Web et votre application acceptent avec une requête (c’est-à-dire tout ce que votre serveur Web ou votre application doit analyser) sont importants pour vous car (a) votre serveur Web fera probablement un effort pour les analyser tous - ce qui peut fournir à l'attaquant une des moyens pour exécuter une attaque buffer overflow ou slowloris - et (b) votre application doit être désinfectée et/ou validée (comme dans le cas d'un cookie éventuellement modifié) ) quoi que ce soit utilisé comme entrée.
Voici quelques-uns que j'utilise:
# Don't allow any pages to be framed by my site or any others
# Defends against Clickjacking!
Header set X-Frame-Options DENY
# Only allow JavaScript from the same domain to be run.
# Also, don't allow inline JavaScript to run.
Header set X-Content-Security-Policy "allow 'self';"
# Turns on IE 8 XSS prevention tools
Header set X-XSS-Protection "1; mode=block"
# Don't send out the Server header. This way no one knows what
# version of Apache and PHP I am using
Header unset Server
Encres utiles:
https://developer.mozilla.org/en/the_x-frame-options_response_headerhttps://wiki.mozilla.org/Security/CSP/Specificationhttp://www.google.com/support/forum/p/Web%20Search/thread?tid=187e02e745a50a77&hl=fr
Vous voulez également vous assurer que les en-têtes de cookies importants sont envoyés avec l'option HttpOnly
.
http://www.owasp.org/index.php/HttpOnly
Il y a des façons de forcer cela en externe en utilisant ModSecurity , apparemment, et bien sûr, vous pouvez (et devriez) le définir depuis le code de l'application qui définit les cookies.