Meu RH

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 15

changes.mady.by.user Marcelo De Oliveira Vieira

Gravado em

comparado com

Nova versão 16

changes.mady.by.user Wesley Willian Cecilio Goulart

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Informações

O elemento compilation pode ser localizado no nó <system.web>


...

  • Configurando os Headers

AtributoValores possíveisDescriçãoReferência
X-Content-Type-Optionsnosniff
Para evitar o sniffing do tipo MIME, você pode adicionar o cabeçalho X-Content-Type-Options. 
Isso torna mais difícil para os hackers adivinharem o tipo certo de mime, inspecionando o conteúdo.
X-Content-Type-Options - HTTP | MDN
X-Xss-Protection
0
1
0; mode=block
1; mode=block
O X-Xss-Protection é um recurso implementado no navegador mais moderno, que interrompe o carregamento da página quando um ataque de script entre sites é detectado.

X-XSS-Protection - HTTP | MDN


X-Frame-Options
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
O cabeçalho X-Frame-Options garante que os hackers não criem iframe para o seu site, a fim de induzi-lo a clicar em links que você nunca quis.
X-Frame-Options - HTTP | MDN
Cache-Control

public

private

no-cache

no-store

max-age

A diretiva Cache-Control é usada para especificar como os caches devem se comportar ao armazenar uma resposta HTTP e como os navegadores devem tratar essa respostaCache-Control - HTTP | MDN
Expect-CT
Strict-Transport-Security

maxage=tempoEmSegundos

includeSubDomains

preload

é um mecanismo de política que ajuda a proteger sites contra ataques man-in-the-middle, como ataques de downgrade de protocolo e sequestro de cookies.Segurança de Transporte Estrita - HTTP | MDN
Cross-Origin-Embedder-Policy

require-corp

unsafe-none

O cabeçalho de resposta HTTP Cross-Origin-Embedder-Policy é incluído pelo servidor para impedir que um documento acesse recursos entre origens que não o permitem explicitamente.Cross-Origin-Embedder-Policy - HTTP | MDN
Bloco de código
titleExemplo de configuração
   <httpProtocol>
      <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
        <add name="X-Xss-Protection" value="1; mode=block" />
        <add name="X-Frame-Options" value="SAMEORIGIN" />
        <add name="Cache-Control" value="no-store" />
        <add name="ExpectStrict-Transport-CTSecurity" value="max-age="maxage=86400, enforce31536000; includeSubDomains; preload" />
		<add name="Cross-Origin-Embedder-Policy" value="require-corp" />
       </customHeaders>
    </httpProtocol>

...