Hay algunas razones por las que es posible que desee agregar encabezados personalizados en su sitio web, sin embargo, la razón más común hoy en día es agregar encabezados de seguridad apache o nginx. Muchos de estos encabezados no se pueden preaplicar globalmente, ya que afectarían directamente la funcionalidad de algunos sitios que dependen de la funcionalidad que estos encabezados restringirían, por lo que aplicarlos por sitio es la mejor y única forma de agregarlos.
Aquí hay un par de otras razones por las que podría querer agregar encabezados personalizados:
- Una guía de aplicaciones web le indicó que cambie o agregue encabezados HTTP/HTTPS a la configuración de su servidor web
- Desea agregar uno de los siguientes tipos de encabezados:Vary, CORS, Cache-Control, X-Frame-Options, etc.
CONSEJO :los documentos de soporte de Plesk sobre la adición de encabezados CORS indican agregar estos encabezados a los campos que no ve en Plesk, porque solo los administradores tienen acceso para editar los campos de "Directivas adicionales". Los pasos a continuación solucionarán este problema.
¡Afortunadamente, Plesk tiene una función que lo hace fácil! Así es como se hace:
- Empiece iniciando sesión en Plesk
- Encuentre su dominio en la lista y haga clic en él para editar su configuración, o enfóquese en la cuadrícula de opciones de configuración de botones. Si sus opciones están tabuladas, haga clic en la pestaña "Alojamiento y DNS"
- Seleccione el botón llamado "Configuración de Apache y nginx"
- En Configuración común de Apache encontrarás Encabezados adicionales . Seleccione "Ingresar valor personalizado" e ingrese sus encabezados aquí. Tenga en cuenta que aunque el título de esta sección incluye "Apache", la mayoría de los elementos (si no todos) aquí se aplicarán a nginx a menos que esté deshabilitado. Debajo del cuadro de entrada de texto se proporciona un ejemplo del formato/sintaxis a utilizar.
- El formato a usar aquí es
Header: Value - Cuando haya terminado, desplácese hacia abajo y haga clic en Aceptar.
Encabezados de seguridad comunes para usar
El siguiente es un excelente conjunto de encabezados de seguridad para aplicar a su sitio, aunque se recomienda encarecidamente buscar cómo configurar una Política de seguridad de contenido, ya que el valor correcto dependerá en gran medida del contenido de su sitio.
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
Estos encabezados evitan que otros sitios hagan cosas maliciosas con su sitio. Por ejemplo, X-Frame-Options especifica que solo los sitios/aplicaciones que se ejecutan en su propio dominio pueden poner su sitio en un marco/iframe.
Advertencia: Es posible que no desee utilizar Content-Security-Policy si está utilizando WordPress y agrega regularmente nuevas funciones. El objetivo de este encabezado es garantizar que solo las fuentes especificadas en la lista puedan proporcionar archivos para su sitio web . Si configura este encabezado y luego agrega una funcionalidad al sitio que se basa en un recurso (imagen, javascript, hoja de estilo) no incluido en esa lista, es probable que la funcionalidad no funcione hasta que la agregue. Dicho esto, puede usar nuestra guía para usar el inspector web de su navegador y su pestaña de la consola para ayudar a diagnosticar tales problemas y actualizar su encabezado CSP, ya que los errores relacionados con esto se informarán allí.