HTTP headers security htaccess

September 6, 2020

Boa noite,

Neste momento encontro-me a tentar definir no ficheiro .htaccess a questão relacionada com http headers security mas estou a ter um problema relacionado com a Content-Security-Policy.

No meu ficheiro tenho o seguinte conjunto de regras

	Header set Cache-Control "no-cache, no-store, must-revalidate"
    Header set Pragma "no-cache"
    Header set Expires 0
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Frame-Options "DENY"
    Header set X-Content-Type-Options nosniff
    Header always set Referrer-Policy "same-origin"
    Header always set Feature-Policy "microphone 'none'; payment 'none'; sync-xhr 'self' https://coilcrypto.com"
    Header add Content-Security-Policy "default-src 'self'"
    Header add Content-Security-Policy "script-src 'self' https://cdn.jsdelivr.net/ cdn.amcharts.com"
    Header add Content-Security-Policy "style-src 'self' fonts.googleapis.com use.fontawesome.com"
    Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Quando carrego o site com estas linhas todas os ficheiros css e js externos não são carregados.
No entanto quando retiro as linhas relacionada com Content-Security-Policy os ficheiros passam a ser carregados.

Será que me conseguem ajudar?

September 6, 2020

Estás a definir múltiplos headers Content-Security-Policy. Experimenta colocar todas as instruções num só header.

Header add Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.jsdelivr.net/ cdn.amcharts.com; style-src 'self' fonts.googleapis.com use.fontawesome.com"

September 7, 2020

Ao colocar uma única linha

<IfModule mod_headers.c>
    Header set Cache-Control "no-cache, no-store, must-revalidate"
    Header set Pragma "no-cache"
    Header set Expires 0
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Frame-Options "DENY"
    Header set X-Content-Type-Options nosniff
    Header always set Referrer-Policy "same-origin"
    Header always set Feature-Policy "microphone 'none'; payment 'none'; sync-xhr 'self' https://coilcrypto.com"
    Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
    Header add Content-Security-Policy "default-src 'self'; script-src 'self' cdn.jsdelivr.net cdn.amcharts.com; style-src 'self' fonts.gstatic.com http://fonts.googleapis.com/ use.fontawesome.com"
</IfModule>

continuo a ter o problema de alguns ficheiros não serem carregados.
Fica aqui uns exemplos:

Request URL: https://fonts.gstatic.com/s/montserrat/v14/JTURjIg1_i6t8kCHKm45_cJD3gTD_u50.woff2
Referrer Policy: strict-origin-when-cross-origin
Provisional headers are shown
Origin: http://localhost
Referer: https://fonts.googleapis.com/

Também que reparei que agora comecei a ter um warning sobre SameSite cookies e nem faço ideia do que isto é.

Citação

A cookie associated with a cross-site resource at http://amcharts.com/ was set without the `SameSite` attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with `SameSite=None` and `Secure`.

Será que alguém sabe o que isto pode ser?

September 8, 2020

O "SameSsite" previne os browsers de enviarem os cookies em pedidos entre sites. O objetivo é mitigar o risco de falhas/fugas de informação através dos cookies em pedidos entre sites. Se quiseres saber mais sobre isto dá um pulo a https://web.dev/samesite-cookies-explained/

Quanto ao Content-Security-Policy, dá uma olhadela aqui https://developer.mozilla.org/pt-BR/docs/Web/HTTP/Headers/Content-Security-Policy, em particular na secção de múltiplas políticas de segurança e nos exemplos.

Sign In

HTTP headers security htaccess

Recommended Posts

danielfpaiva 0

Link to post

Share on other sites

Rui Carlos 359

Link to post

Share on other sites

danielfpaiva 0

Link to post

Share on other sites

M6 149

Link to post

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Home

Activity

Revista PROGRAMAR

Important Information