quasi (http) headers

Dopo aver giocato con security headers mi sono deciso a mettere mano alla configurazione del server (httpd) Apache che sta alla base di questo blog. É stato meno semplice ed immediato di quanto pensassi e quindi mi annoto quanto fatto:

in apache2/security ho impostato i seguenti valori:

ServerSignature Off
ServerTokens Prod

Questo non nasconde del tutto il web server ma riduce al minimo le informazioni esposte.

Per il resto nel file di configurazione del virtual host relativo al blog ho inserito i seguenti elementi:


Header set X-Content-Type-Options “nosniff”
Header set X-XSS-Protection “1; mode=block”
Header set X-Frame-Options “SAMEORIGIN”
Header set X-Permitted-Cross-Domain-Policies “master-only”

Ho controllato i risultati con un semplice “curl -i http://quasi.me” e la risposta mi pare accettabile, anche se dovrei mettere mano ad una content security policy. Magari la prossima volta.

One Reply to “quasi (http) headers”

Comments are closed.