Avisos
Vaciar todo
Buenos días,
He insertado las funciones que se describen en varios blogs de webempresa para solucionar los problemas arriba mencionados y no funciona, o por lo menos me siguen apareciendo como no corregidos.
Estoy utilizando un tema child de divi para wordpress, y estas funciones las he añadido en el archivo functions.php del tema hijo
/*Si enviamos la cabecera X-Content-Type-Options en la respuesta con el valor «nosniff», los navegadores que soportan esta cabecera (IE y Chrome), no cargan las hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado */
add_action( 'send_headers', 'add_header_xcontenttype' );
function add_header_xcontenttype() {
header( 'X-Content-Type-Options: nosniff' );
}
/*La cabecera X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe.*/
add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: SAMEORIGIN' );
}
/* La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que tienen habilitado IE y Chrome. */
add_action( 'send_headers', 'add_header_xxssprotection' );
function add_header_xxssprotection() {
header( 'X-XSS-Protection: 1;mode=block' );
}
Me podrían ayudar. Gracias
Respondido : 18/04/2020 12:24 pm
Hola Francisco Jose.
Elimina el cogido y añade el siguiente:
add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}
o por lo menos me siguen apareciendo como no corregidos.
Donde ves el aviso ? si no se soluciona, pro favor adjunta una captura del aviso.
Un saludo
Respondido : 18/04/2020 6:08 pm
Gracias Pepe,
He hecho lo me dijiste pero no me funcionó. He buscado otra opción a través de htaccess y me ha funcionado.
Gracias
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
# Cabecera Content-Security-Policy
Header set X-Content-Security-Policy "allow 'self';"
Respondido : 18/04/2020 6:52 pm
Hola Francisco,
Excelente, me alegra que la opción de .htaccess te sirviera.
Quedamos atentos a ts dudas y comentarios adicionales.
Saludos.
Respondido : 19/04/2020 12:09 am
