X-Wow-Security-Header
Talk detail
Znáte nějaké HTTP hlavičky? Asi znáte, že. A víte, že některé ty hlavičky dělají Internet a webové aplikace bezpečnějším místem na Zemi? Pravděpodobně to tušíte. A kolik jich znáte? Všechny, jo? Paráda, takže to budu muset asi vymyslet nějaké jiné téma.
UPDATE: Jiné téma se mi nepodařilo vymyslet
Kód z přednášky naleznete na GitHubu a také níže, některé ukázky si můžete rovnou vyzkoušet na mém webu:
- Hlavička
Host - Skrytá administrace – ukázka (404 je schválně), odkrytí
- Nastavení XSS filtru pomocí hlavičky
X-XSS-Protection– ukázka - Příznak
HttpOnlyznemožní čtení cookie se session id pomocí JavaScriptu – ukázka - Content Security Policy k povolení načtení skriptů apod. pouze z daných umístění – ukázka, výpis reportů
- Zakázání načítání stránky do frame pomocí
X-Frame-Options– ukázka - Hlavička
X-Content-Type-Optionspro vypnutí detekce typu dat – ukázka - HTTP Strict Transport Security – pro vyzkoušení nainstalujte např. Fiddler, zapněte dešifrování HTTPS a zkuste načíst Facebook a Twitter a najděte jeden rozdíl
Přijďte si o těchto HTTP hlavičkách popovídat na školení Bezpečnost webových aplikací (September 11–12, 2018 Praha).
Date and event
November 23, 2013, DevFest Praha 2013 (video)