Avisos
Vaciar todo
Hola, reportamos el siguiente problema a Webempresa:
se detectaron problemas en Cabecera HTTP (Configuración Content Security Policy): En la implementación de esta cabecera, hemos identificado la falta de 2 directivas esenciales que pueden aumentar el riesgo de ataques como Cross-Site Scripting (XSS). Las directivas son las siguientes:
1. script-src: Esta directiva permite marcar los dominios desde los que se pueden cargar scripts en la página. La ausencia de esta directiva puede permitir la ejecución de scripts desde cualquier origen.
2. object-src: La falta de esta directiva permite la inyección de plugins que pueden ejecutar JavaScript.
La respuesta que obtuvimos, fue agregar el siguiente código al inicio del archivo .htaccess de la web.
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self'; object-src 'none';"
</IfModule>
Pero al realizarlo, afecto varios componentes internos, lo cual ocasionó daños y debimos eliminarlo para restablecer la página.
Posterior a esto, nos indicaron agregar otro código el cual ya lo teníamos configurado desde hace un tiempo atrás que es el siguiente:
Header always set Content-Security-Policy "upgrade-insecure-requests;"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Podrían ayudarnos a solucionar el problema sin que afecte la web por favor.
Saludos.
Contenido solo visible a usuarios registrados
Respondido : 04/12/2023 10:35 pm
Hola Margarita,
En donde estas viendo esta indicación de error en e content security? Actualmente tenemos la guía sobre códigos:
Veo que tiene algunos que no están en tu caso, verifica agregarlo y recuerda tener un respaldo de tu archivo en caso de cualquier problema puedas volver a como estaba antes.
Un saludo
Respondido : 04/12/2023 11:54 pm
