Cabecera content-security-policy wordpress
08/09/2022
Índice
Política de seguridad de contenidos unsafe-inline
En la versión 1.x de HTTP, los campos de cabecera se transmiten después de la línea de solicitud (en el caso de un mensaje HTTP de solicitud) o de la línea de respuesta (en el caso de un mensaje HTTP de respuesta), que es la primera línea de un mensaje. Los campos de cabecera son pares clave-valor separados por dos puntos en formato de cadena de texto claro, terminados por una secuencia de caracteres de retorno de carro (CR) y avance de línea (LF). El final de la sección de cabecera se indica con una línea de campo vacía, lo que da lugar a la transmisión de dos pares CR-LF consecutivos. En el pasado, las líneas largas podían plegarse en varias líneas; las líneas de continuación se indican mediante la presencia de un espacio (SP) o un tabulador horizontal (HT) como primer carácter de la línea siguiente. Este plegado está ahora obsoleto[1].
HTTP/2[2] y HTTP/3 utilizan en su lugar un protocolo binario, en el que las cabeceras se codifican en un único HEADERS y cero o más marcos CONTINUATION utilizando HPACK[3] (HTTP/2) o QPACK (HTTP/3), que proporcionan una compresión eficiente de las cabeceras. La línea de solicitud o respuesta de HTTP/1 también ha sido sustituida por varios campos de pseudocabecera, cada uno de los cuales comienza con dos puntos (:).
¿Se puede añadir Content-Security-Policy en WordPress?
Puede añadir una cabecera de seguridad Content-Security-Policy a un sitio de WordPress usando el archivo . htaccess para Apache y usando el nginx.
¿Cómo puedo activar la CSP?
Para habilitar la CSP, debe configurar su servidor web para que devuelva la cabecera HTTP Content-Security-Policy. (A veces puede ver menciones a la cabecera X-Content-Security-Policy, pero esa es una versión antigua y ya no es necesario especificarla).
Política de seguridad de contenidos angular
demuestra cómo hacer esto; en tu archivo de configuración, en la sección httpProtocolo, añade una entrada a la colección customHeaders que contenga el nombre (es decir, "Content-Security-Policy" y un valor que defina el CSP que deseas implementar. En el ejemplo dado, se implementa una CSP muy simple, que sólo permite cargar recursos del sitio local (self).
El segundo recurso que enlazaste enumera las diferentes opciones que puedes usar en tu customHeader, y ejemplos de sus valores válidos. Lo único que hay que recordar es que las opciones subsiguientes deben estar separadas por ;y la cadena debe terminar en un ; final.
Ahora bien, esto parece ser una "respuesta sólo de enlace", pero de hecho, el enlace es un editor de CSP completamente construido, usted hace clic en las casillas, selecciona los sitios web que necesita en su CSP y la cadena CSP vuelve configurada para usted (sólo tiene que copiar y pegar el resultado en su cabecera para Content-Security-Policy). No pude esperar a replicar la funcionalidad en esta respuesta, de ahí el enlace.
La configuración de la Política de Seguridad de Contenidos puede variar significativamente de un sitio a otro en función de si los scripts son locales o si se utilizan CDNs externos, etc. Así que para tratar de encontrar la configuración que mejor se adapte a su aplicación, puede utilizar una versión de sólo informe:
X-content-security-policy
Cada sitio y tema es diferente, por lo que no hay un tamaño de imagen específico que podamos recomendar aquí. Puedes probar con imágenes de diferentes tamaños y ver los resultados en tu sitio. Algunos escenarios comunes que puedes encontrar incluyen:
Una imagen de cabecera suele abarcar la mayor parte o todo el ancho del sitio. Puede obtener buenos resultados si sube una imagen con dimensiones con una proporción de 16:9 (como 1920 × 1080 píxeles o 1280 × 720 píxeles).
Es posible que su tema tenga una recomendación sobre las mejores dimensiones de imagen que debe utilizar. Para comprobarlo, ve a Apariencia → Temas y haz clic en Información. Desplázate hasta la sección Especificaciones rápidas y busca un tamaño de imagen de cabecera recomendado, si es que lo hay.
Siempre buscamos mejorar nuestra documentación. Si esta página no ha respondido a tu pregunta o te ha dejado con ganas de más, ¡háznoslo saber! Nos encanta escuchar tus comentarios. Si necesitas ayuda, utiliza los foros o el formulario de contacto. Gracias.
Generador de políticas de seguridad de contenidos
Una Política de Seguridad de Contenidos es la mejor protección contra uno de los ataques más maliciosos en Internet - los ataques a la cadena de suministro - y con el aumento de la concienciación y la adopción de las CSP por parte de algunos de los mayores sitios en línea, es posible que usted comience su propia investigación sobre las Políticas de Seguridad de Contenidos.
La respuesta a estas preguntas depende de poder encontrar una CSP en un sitio. La buena noticia es que las CSP no son configuraciones ocultas. Por su naturaleza, son totalmente públicas y visibles en el sitio a través de unos sencillos pasos. Le guiaremos a través de algunas de estas opciones.
Hay múltiples razones por las que una organización puede utilizar una metaetiqueta para insertar su CSP. En un futuro artículo del blog de Blue Triangle hablaremos de los pros y los contras de utilizar una metaetiqueta frente a una cabecera de respuesta para su CSP.
Gus Anderson ha estado trabajando con Blue Triangle desde 2018 como Vicepresidente de Estrategia de Experiencia Digital. Gus ha trabajado en todas las facetas del mundo de la experiencia digital desde 1989 y se especializa en el rendimiento y la seguridad del comercio electrónico.
