Jak skonfigurować nagłówki bezpieczeństwa na serwerze IIS?

Artykuł opisuje konfiguracje nagłówków bezpieczeństwa na serwerze IIS.

Informacje ogólne

Nagłówki bezpieczeństwa na serwerze internetowym IIS (Internet Information Services) to specjalne informacje, które serwer wysyła w odpowiedzi na żądania HTTP, aby poprawić bezpieczeństwo aplikacji internetowych i zapobiec różnym atakom, takim jak ataki typu XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), ataki typu clickjacking itp. Nagłówki pozwalają kontrolować, jak przeglądarka internetowa obsługuje dane żądania i odpowiedzi HTTP

Poniżej została opisana konfiguracja następujących nagłówków bezpieczeństwa:

  • HSTS (HTTP Strict Transport Security) – zmusza przeglądarkę do łączenia się z serwerem tylko za pośrednictwem protokołu HTTPS, nawet jeśli użytkownik wpisał adres URL bez protokołu SSL. Zapobiega to atakom typu man-in-the-middle (MitM) na sesje użytkowników.
  • X-Content-Type-Options – pozwala serwerowi narzucić przeglądarce internetowej, aby nie próbowała interpretować typu MIME zasobu na podstawie jego zawartości. Zapobiega to pewnym rodzajom ataków typu MIME sniffing.
  • X-Frame-Options – kontroluje, czy przeglądarka internetowa może renderować zawartość strony w ramkach. Może być używany do zapobiegania atakom clickjacking.
  • X-XSS-Protection – kontroluje mechanizmy ochrony przed atakami XSS wbudowane w niektóre przeglądarki internetowe. Pozwala on na aktywowanie lub dezaktywowanie filtrów XSS wbudowanych w przeglądarkę.
  • Referrer Policy – kontroluje, które informacje o odnośnikach są przesyłane w nagłówku Referer. Pomaga to chronić prywatność użytkowników oraz zapobiega przeciekom informacji o odwiedzanych stronach.
  • Content Security Policy (CSP) – umożliwia administratorom kontrolowanie, z której lokalizacji mogą być ładowane zasoby na stronie. Pozwala to ograniczyć ryzyko ataków typu XSS i innych zagrożeń związanych z zaufanym źródłem zasobów.
Wskazówka
Włączenie i konfiguracja tych nagłówków w serwerze IIS może znacząco zwiększyć poziom bezpieczeństwa aplikacji Comarch B2B.

 

Dodawanie nagłówków bezpieczeństwa na IIS

Wszystkie wymienione nagłówki bezpieczeństwa dodaje się w podobny sposób z poziomu Zarządzania IIS:

  1. Otwórz Zarządzanie IIS.
  2. Wybierz swoją witrynę internetową.
  3. Przejdź do funkcji “HTTP Response Headers”.
  4. Wybierz “Add…” w sekcji “Actions”:

5. Następnie w polach Name oraz Value uzupełnij odpowiednie wartości w zależności od dodawanego nagłówka:

  • HSTS (HTTP Strict Transport Security)
    Name: Strict-Transport-Security
    Value: max-age=31536000; includeSubDomains; preload
  • X-Content-Type-Options
    Name: X-Content-Type-Options
    Value: nosniff
  • X-Frame-Options
    Name: X-Frame-Options
    Value: DENY (lub ALLOW-FROM [dla konkretnego źródła])
  • X-XSS-Protection
    Name: X-XSS-Protection
    Value: 1; mode=block
  • Referrer Policy
    Name: Referrer-Policy
    Value: same-origin
  • Content Security Policy (CSP)
    Name: Content-Security-Policy
    Value: default-src ‘self’; script-src ‘self’

6.  Zatwierdź wprowadzone zmiany przyciskiem ‘OK‘. Nagłówki bezpieczeństwa zostały prawidłowo dodane na serwerze IIS.

 

Wskazówka

Czy ten artykuł był pomocny?