Рекомендуемые заголовки (Headers)

Устанавливать на сервере рекомендуемые заголовки:

Content-Security-Policy
Referer-Policy
Permissions-Policy
X-Frame-Options: DENY (или SAMEORIGIN / ALLOW-FROM ... в случае необходимости)
X-Content-Type-Options: nosniff — браузер не пытается угадать Content-Type, а выбирает тот, который установлен в заголовке изначально
X-XSS-Protection: 1; mode=block

Дополнительные рекомендации по предотвращению данного типа уязвимостей приведены в документе Mozilla.

Подробно в примерах: https://habr.com/ru/post/317720/

Last updated 2 years ago

Was this helpful?