Avisos
Vaciar todo

[Resuelto] No tiene Cabeceras X-Content-Type, No tiene Cabeceras X-Frame ni No tiene Cabeceras X-XSS  

 
Francisco José
 Francisco José
Nuevo usuario

Buenos días,
He insertado las funciones que se describen en varios blogs de webempresa para solucionar los problemas arriba mencionados y no funciona, o por lo menos me siguen apareciendo como no corregidos.

Estoy utilizando un tema child de divi para wordpress, y estas funciones las he añadido en el archivo functions.php del tema hijo

/*Si enviamos la cabecera X-Content-Type-Options en la respuesta con el valor «nosniff», los navegadores que soportan esta cabecera (IE y Chrome), no cargan las hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado */
add_action( 'send_headers', 'add_header_xcontenttype' );
function add_header_xcontenttype() {
header( 'X-Content-Type-Options: nosniff' );
}

/*La cabecera X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe.*/
add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: SAMEORIGIN' );
}

/* La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que tienen habilitado IE y Chrome. */
add_action( 'send_headers', 'add_header_xxssprotection' );
function add_header_xxssprotection() {
header( 'X-XSS-Protection: 1;mode=block' );
}

Me podrían ayudar. Gracias

Respondido : 18/04/2020 12:24 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Francisco Jose.

 

Elimina el cogido y añade el siguiente:

add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}

 

o por lo menos me siguen apareciendo como no corregidos.

Donde ves el aviso ? si no se soluciona, pro favor adjunta una captura del aviso.

 

Un saludo

Respondido : 18/04/2020 6:08 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Francisco José
 Francisco José
Nuevo usuario

Gracias Pepe,

He hecho lo me dijiste pero no me funcionó. He buscado otra opción a través de htaccess y me ha funcionado.

Gracias

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

# Cabecera Content-Security-Policy
Header set X-Content-Security-Policy "allow 'self';"

Respondido : 18/04/2020 6:52 pm
Bulmaro
 Bulmaro
Soporte CMS Webempresa Moderator

@lanzatek69gmail-com

Hola Francisco,

Excelente, me alegra que la opción de .htaccess te sirviera. 

Quedamos atentos a ts dudas y comentarios adicionales. 

Saludos. 

Respondido : 19/04/2020 12:09 am