Buenas, tras pasar nuevamente pageSpeed, me indica que no tengo ningua CSP en el modo obligatorio, he visto el manual de https://www.webempresa.com/blog/como-anadir-las-cabeceras-content-security-policy-x-content-type-x-frame-xss-en-tu-htaccess.html, he copiado el código, pero tras volver a pasar Doctor, me indica que no lo tengo.
¿Alguna solución?
Muchas gracias de antemano.
Contenido solo visible a usuarios registrados
Hola MAnu.
Donde las añadiste ?
En el archivo .htaccess solo veo que tienes añadida la Cabecera Content-Security-Policy las demas no estan añadidas.
Tienes que añadir lo siguiente en el archivo .htaccess:
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Un saludo
Lo he tenido que quitar, al ponerlo, cuando entro en galeria, no me muestra ninguna imagen, se queda cargando.
Hola Manu.
Puede ser por algunas cabeceras de seguridad, de normal la que suele dar problemas es:
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Elimina esa y prueba solo con las demás:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header always append X-Frame-Options SAMEORIGIN Header Referrer-Policy: no-referrer-when-downgrade
Un saludo