CodePre.com

Tutoriales en línea gratuitos
Hogar Aumente la seguridad de su sitio web con los encabezados de seguridad de Nginx

Aumente la seguridad de su sitio web con los encabezados de seguridad de Nginx

En la era digital actual, la seguridad es una prioridad principal para cualquier sitio web o plataforma en línea. Una de las formas más efectivas de proteger su sitio web de posibles ataques es mediante el uso de encabezados de seguridad. Nginx, un popular software de servidor web, ofrece varios encabezados de seguridad que se pueden configurar para proteger su sitio web de ataques maliciosos. En esta publicación de blog, exploraremos la importancia de los encabezados de seguridad, los diferentes tipos de encabezados de seguridad disponibles en Nginx y cómo configurarlos en su sitio web. Al final de esta publicación, comprenderá claramente cómo usar los encabezados de seguridad en Nginx para mejorar la seguridad de su sitio web y protegerlo de posibles ataques. Entonces, profundicemos y aprendamos más sobre los encabezados de seguridad en Nginx.

Tabla de contenido

¿Qué son los encabezados de seguridad?

Los encabezados de seguridad son encabezados de respuesta HTTP que envía un servidor web al navegador web de un cliente. Estos encabezados brindan seguridad adicional al sitio web al especificar cómo deben comportarse los navegadores web al interactuar con el sitio web.

Estos encabezados son una forma sencilla de prevenir ataques maliciosos como ataques de secuencias de comandos entre sitios (XSS), ataques de secuestro de clics y otros ataques de aplicaciones web. También ayudan a garantizar que solo usuarios legítimos accedan al sitio web.

Por qué son importantes los encabezados de seguridad

Los encabezados de seguridad ayudan a proteger su sitio web de una amplia gama de vulnerabilidades de seguridad. Al implementarlos, puede reducir el riesgo de ataques como XSS y clickjacking. Además, muchos encabezados de seguridad ayudan a mejorar el rendimiento de su sitio web al reducir la cantidad de solicitudes que recibe. Esto puede conducir a tiempos de carga más rápidos y una mejor experiencia de usuario en general.

Configuración de encabezados de seguridad en Nginx.

Antes de comenzar a configurar encabezados de seguridad en Nginx, debemos instalar Nginx en su servidor. Para obtener recursos adicionales sobre la instalación de Nginx, lea la publicación a continuación:

  • Cómo instalar Nginx en Ubuntu Linux √
  • Cómo instalar Nginx en Rocky Linux √

Aquí hay algunos encabezados de seguridad más que se pueden agregar a una configuración de servidor web Nginx:

  • Política de seguridad de contenido (CSP).

Content-Security-Policy (CSP) es un encabezado HTTP que le permite especificar las fuentes desde las cuales su sitio web puede cargar recursos como secuencias de comandos, imágenes y hojas de estilo. Al especificar un CSP, puede evitar que se carguen scripts maliciosos y otros recursos en su sitio web.

Agregue lo siguiente a su configuración de Nginx para agregar el encabezado Content-Security-Policy:

add_header Content-Security-Policy "default-src 'self';" always;
  • Encabezado de opciones de marco X.

Este encabezado puede ayudar a prevenir ataques de secuestro de clics, que pueden engañar a los usuarios para que hagan clic en enlaces o botones maliciosos ocultándolos dentro de un marco invisible en un sitio web. El encabezado X-Frame-Options puede evitar esto al indicarle al navegador que no muestre el sitio web en un marco o iframe.

Agregue lo siguiente a su configuración de Nginx para agregar el encabezado X-Frame-Options:

add_header X-Frame-Options "SAMEORIGIN";

Esto permitirá que el sitio web se muestre en marcos del mismo dominio, pero no de fuentes externas.

  • Encabezado de protección X-XSS.

El encabezado X-XSS-Protection puede ayudar a proteger contra ataques de secuencias de comandos en sitios cruzados (XSS), que pueden permitir a los atacantes inyectar secuencias de comandos maliciosas en páginas web vistas por otros usuarios. El encabezado le indica al navegador que habilite su filtro de protección XSS incorporado.

Agregue lo siguiente a su configuración de Nginx para agregar el encabezado X-XSS-Protection:

add_header X-XSS-Protection "1; mode=block";
  • Encabezado X-Content-Type-Options.

El encabezado X-Content-Type-Options puede ayudar a evitar la detección de tipo MIME, que puede ocurrir cuando un navegador intenta adivinar el tipo MIME de un archivo que se está sirviendo. Esto puede ser un riesgo de seguridad si el navegador adivina incorrectamente el tipo de archivo y lo ejecuta como código.

Agregue lo siguiente a su configuración de Nginx para agregar el encabezado X-Content-Type-Options:

add_header X-Content-Type-Options "nosniff";

Esto le indicará al navegador que no realice un rastreo de tipo MIME y que confíe en el tipo de contenido declarado del servidor.

  • Encabezado de política de referencia.

El encabezado Referrer-Policy puede ayudar a evitar que se filtre información confidencial a través del encabezado de referencia HTTP. El encabezado especifica cuánta información sobre la página de referencia debe enviarse en el encabezado de referencia.

Agregue lo siguiente a su configuración de Nginx para agregar el encabezado Referrer-Policy:

add_header Referrer-Policy "no-referrer";

Esto le indicará al navegador que no envíe el encabezado de referencia cuando navegue a otro sitio web.

  • Seguridad estricta en el transporte (HSTS).

El encabezado Strict-Transport-Security (HSTS) indica al navegador web que siempre use HTTPS para conectarse al sitio web, incluso si el usuario escribe HTTP en la barra de direcciones. Esto ayuda a prevenir ataques que pueden interceptar y modificar el tráfico HTTP sin cifrar, como los ataques de intermediarios.

Para configurar HSTS en Nginx, agregue la siguiente línea a su bloque de servidor:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  • Políticas de dominio cruzado permitidas X.

El encabezado X-Permitted-Cross-Domain-Policies le permite controlar si los recursos de su sitio web pueden ser cargados o no por otros sitios web usando Adobe Flash o Adobe Acrobat. Este encabezado solo es aplicable si su sitio web utiliza Adobe Flash o Acrobat.

Para configurar el encabezado X-Permitted-Cross-Domain-Policies en Nginx, agregue la siguiente línea a su bloque de servidor o bloque de ubicación:

add_header X-Permitted-Cross-Domain-Policies "none";

Esto configurará el encabezado X-Permitted-Cross-Domain-Policies para evitar que otros sitios web carguen los recursos de su sitio web usando Adobe Flash o Acrobat.

Conclusión

En conclusión, implementar encabezados de seguridad es un paso esencial para proteger sus aplicaciones web. Al configurar la política de seguridad de contenido (CSP), la protección X-XSS, las opciones de tipo de contenido X, las opciones de marco X, la seguridad de transporte estricta (HSTS), la política de referencia y las opciones permitidas X Cross-Domain-Policies en su servidor web Nginx, puede reducir en gran medida el riesgo de ataques como cross-site scripting (XSS), clickjacking, MIME type sniffing y man-in-the-middle.

Artículos Relacionados

geany

Ligero IDE multiplataforma Geany

Geany es un IDE ligero gratuito y de código abierto para Linux, Windows y MacOS. Es un editor de código…
nano con resaltado habilitado

Mi Linux esquema de color del terminal

Bash: blanco y negro vs colorido El Linux esquema de color terminal no siempre es atractivo. A menudo es solo…
Bash acepta fácilmente comillas dobles repetidas dentro de una subcapa

Conceptos básicos de automatización y secuencias de comandos de Bash (parte 2)

Bash es un lenguaje de codificación y shell ideal, que le permite crear scripts de automatización de alta gama. En…
1686012322

Cómo crear un archivo en Linux

Hay muchas razones por las que podría querer crear un archivo de forma rápida y sencilla en Linux jugando lo…
ave ballena

ave ballena Mastodon Aplicación de cliente de escritorio

Whalebird es una aplicación cliente de escritorio de mastodonte gratuita y de código abierto para WindowsMac OS y Linux. Viene…
1686008716

Cómo usar la tarjeta SD como RAM adicional en Android

La memoria RAM es una parte crucial de los teléfonos inteligentes; principalmente, contiene los datos de su teléfono y permite…
Ver Web Browser

Vieb – Inspirado en Vim Browser con bloqueador de anuncios

Vieb es un navegador web gratuito y de código abierto para Linux, Windows y MacOS. Es un navegador basado en…
OS X theme combination

Temas e iconos de Linux Mint más allá de los predeterminados

Al final de esta publicación, podrá hacer que su escritorio Linux Mint Cinnamon se vea más hermoso...
Debian Wiki nos ayuda

Cómo NO romper tu Debian ¡Sistema!

Debian es un robusto y confiable Linux sistema, pero aún puede romperlo si no está haciendo las cosas Debian forma.…
Ubuntu Captura de pantalla

Cómo arreglar Screencasts que no graban en Ubuntu

Ubuntu 22.04 viene con una nueva herramienta de captura de pantalla incorporada con una opción para grabar el video de…