Sécuriser les headers renvoyés par apache2
Dans le cas de l’installation d’un certificat avec let’s encrypt, il peut être intéressant de pousser un peu la sécurisation en modifiant les headers renvoyés par apache.
Ce ne sont que quelques lignes dans la conf qui vont permettre de renvoyer moins d’informations par le biais du header et d’assurer les échanges.
# imposer la communication en https (sous-domaines inclus)
# valable tant de temps pour le navigateur
>Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
# déclarer l'origine des ressources à utiliser
>Header set Content-Security-Policy “default-src ‘self’;”
# bloquer le clickjacking
>Header always append X-Frame-Options SAMEORIGIN
# bloquer les attaques basées sur la confusion du type MIME
>Header always set X-Content-Type-Options “nosniff”
# limiter les attaques de cross site scripting
>Header always set X-Xss-Protection “1; mode=block”
On retrouve d’ailleurs quelques-un de ces paramètres dans le fichier d’apache /etc/apache2/conf-enabled/security.conf
mais commentés.
Plus d’infos par ici