[Nginx] Configuration des headers

 

Configuration des headers

 

 

Suite a un test sur securityheaders, j’ai reçu une note en C.

c’est moche ..

 

Après recherche, voici les 3 points de corrections qui m’ont finalement donné la note A+

La correction se fait dans le vhost.

 

  • Pour Strict-Transport-Security il faut rajouter.
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

 

  • Pour Content-Security-Policy il faut rajouter.
add_header Content-Security-Policy "default-src 'self';";

 

  • Pour Referrer-Policy il faut rajouter .
add_header 'Referrer-Policy' 'origin';

 

Un nouveau test sur securityheaders me renvoi un A+

Ça fait plaisir 🙂

 

Un nouveau test sur Qualys me renvoi également un A+

 

Les urls essentiels pour tester les sites:

https://www.ssllabs.com/ssltest/

https://securityheaders.io/

 

Quelques sources:

https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx

https://content-security-policy.com

https://scotthelme.co.uk/a-new-security-header-referrer-policy

https://ultrawaves.fr/blog/index.php?post/2016/11/21/CSP-et-javascript-inline

https://memo-linux.com/securiser-son-site-web-sous-nginx-avec-lajout-den-tetes-headers

 

 

/!\ Nota: Après mettre documenté sur le CSP, j’ai bien galéré pour le configurer correctement, malheureusement divers scripts reste bloqués.

J’ai vu sur beaucoup de site que l’on pouvait utiliser la configuration suivante mais cela me bloque encore certains scripts qui font des appels externe.

add_header Content-Security-Policy "default-src 'self'; img-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'";

 

J’ai bien compris qu’il fallait que je mette des exceptions mais il faut que je joue avec le mode inspecteur du navigateur.

Bref reste encore du travail, j’en ai profité pour scanner quelques sites connus et soit la plupart ne le configure pas soit il est également en mode unsafe-inline.

 

 

No votes yet.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.