Académique Documents
Professionnel Documents
Culture Documents
1 RFC 2616
HTTPS://TOOLS.IETF.ORG/HTML/RFC2616
HTTP/ Phrase
Method /Resource Version cr If Status cr If
Versión Response
GET / HTTP/1.1 cr If
Host: www.host.com cr If
MÉTODOS
Condicional GET
un recurso del servidor web, sí y sólo si, el mensaje cumple
con las condiciones declaradas en las cabeceras:
If-Modified-Since
If-Unmodified-Since
If-Match
If-None-match
If-Ranger-Header
Cache-Control:
HEADERS MÁS COMUNES.
Cache-Control: Private
La funcionalidad de esta directiva indica que todo o parte del mensaje
de respuesta para un cliente no debe ser almacenado por un cache
compartido(permite especificar un campo específico del mensaje).
Cache-Control: no-cache
Especifica que el cache no se debe utilizar toda o parte de la respuesta
para satisfacer una petición posterior sin una revalidación con el
servidor de origen.
Cache-Control: no-store
Evitar la retención de información sensible ya que ésta aplica al
mensaje completo, aplica tanto para cache compartido como al no
compartido, sin embargo, no es un mecanismo confiable que garantice
la privacidad (algunos caches podrían no reconocer u obedecer esta
directiva)
Cache-Control: Must-Revalidate
Especifica que el cache no debe ser utilizado después de que haya
expirado.
HEADERS MÁS COMUNES.
Pragma:
Posee la misma funcionalidad que Cache-Control:no-cache, se emplea
por compatibilidad con versiones anteriores como HTTP/1.0.
Expires:
Proporciona el tiempo o en su defecto fecha después del cual la
respuesta es considerada obsoleta, por lo que un cache no debería ser
reutilizado a menos que haya una previa re-validación por parte del
cliente.
HEADERS MÁS COMUNES.
Set-Cookie RFC-6265
La funcionalidad de esta es almacenar información acerca del “estado”
que identifica al usuario, el servidor utiliza una cabecera Set-Cookie en
la respuesta y en consecuencia el cliente envía la cabecera Cookie en
la solicitud con el nombre de la Cookie y su respectivo valor asignado.
Sesión
Preferencias
Compras, etc.
ATRIBUTOS DE ADMINISTRACIÓN.
Set-Cookie name=value; Expires=
Este atributo indica el máximo tiempo de vida de la Cookie representada como la fecha y tiempo en que la Cookie expira.
Por lo que el cliente no requiere retener la Cookie después de esta fecha,
Consideraciones
Este atributo limita el uso de la Cookie únicamente a
solicitudes HTTP.
HEADERS MÁS COMUNES.
HTTP-STRICT-TRANSPORT-SECURITY RFC 6797
Esta cabecera es opcional y fue implementada como una mejora en la seguridad, su funcionalidad es asegurar
que todas las peticiones no sean enviadas sobre un canal inseguro, sino que siempre sobre HTTPS.
HEADERS MÁS COMUNES.
X-FRAME-OPTIONS RFC 7034
Esta cabecera es opcional y fue implementada como una medida de seguridad contra Clickjacking, Permite
indicar si un recurso puede ser transmitido dentro de un <frame> o <iframe>, así asegurar que el sitio web no
sea embebido en otros sitios.
DENY
Para cualquier dominio.
SAMEORIGIN
Permite únicamente al sitio actual.
ALLOW-FROM “uri”
El cual permite identificar un uri que puede frame this Page
HEADERS MÁS COMUNES.
X-XSS-Protection
Es una característica de IE, Chrome y Safari que impiden que las paginas se carguen cuando detectan ataques
de XSS.
HEADERS MÁS COMUNES.
X-Content-Type-Options
Indica que los tipos MIME declarados en los encabezados Content-Type: no se deben cambiar ni interpretar de
otra manera. Permite en buscadores bloquear el rastreo de contenido que podían transformar MIME no
ejecutables en MIME ejecutable.
nosniff
Si el contenido es Style y el content-type no es txt/css
Si el contenido es Script y el content-type no es JavaScript MIME
HEADERS MÁS COMUNES.
Content-Security-Policy
Indica que los tipos MIME declarados en los encabezados Content-Type: no se deben cambiar ni interpretar de
otra manera. Permite en buscadores bloquear el rastreo de contenido que podían transformar MIME no
ejecutables en MIME ejecutable.
https://content-security-policy.com/
REFERENCIAS
• https://developer.mozilla.org/es/docs/Web/HTTP/Headers
• https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#csp
• http://docs.w3cub.com/http/basics_of_http/mime_types/#MIME_sniffing
• https://www.ietf.org/rfc/rfc6265.txt
• https://tools.ietf.org/html/rfc2616
• https://content-security-policy.com/
HEADERS MÁS COMUNES.
CONSIDERACIONES DE SEGURIDAD
ENCODING FILES
Que mecanismo de
decodificación será
requerido para remover la
codificación
GZIP GNU ZIP
• Si este campo no está presente el servidor debe asumir que el cliente acepta todos los lenguajes
CONTENT-TYPE
CONTROL CACHE
RESPONSE HEADER FIELDS