Artykuł opisuje konfiguracje nagłówków bezpieczeństwa na serwerze IIS.
Informacje ogólne
Nagłówki bezpieczeństwa na serwerze internetowym IIS (Internet Information Services) to specjalne informacje, które serwer wysyła w odpowiedzi na żądania HTTP, aby poprawić bezpieczeństwo aplikacji internetowych i zapobiec różnym atakom, takim jak ataki typu XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), ataki typu clickjacking itp. Nagłówki pozwalają kontrolować, jak przeglądarka internetowa obsługuje dane żądania i odpowiedzi HTTP
Poniżej została opisana konfiguracja następujących nagłówków bezpieczeństwa:
- HSTS (HTTP Strict Transport Security) – zmusza przeglądarkę do łączenia się z serwerem tylko za pośrednictwem protokołu HTTPS, nawet jeśli użytkownik wpisał adres URL bez protokołu SSL. Zapobiega to atakom typu man-in-the-middle (MitM) na sesje użytkowników.
- X-Content-Type-Options – pozwala serwerowi narzucić przeglądarce internetowej, aby nie próbowała interpretować typu MIME zasobu na podstawie jego zawartości. Zapobiega to pewnym rodzajom ataków typu MIME sniffing.
- X-Frame-Options – kontroluje, czy przeglądarka internetowa może renderować zawartość strony w ramkach. Może być używany do zapobiegania atakom clickjacking.
- X-XSS-Protection – kontroluje mechanizmy ochrony przed atakami XSS wbudowane w niektóre przeglądarki internetowe. Pozwala on na aktywowanie lub dezaktywowanie filtrów XSS wbudowanych w przeglądarkę.
- Referrer Policy – kontroluje, które informacje o odnośnikach są przesyłane w nagłówku Referer. Pomaga to chronić prywatność użytkowników oraz zapobiega przeciekom informacji o odwiedzanych stronach.
- Content Security Policy (CSP) – umożliwia administratorom kontrolowanie, z której lokalizacji mogą być ładowane zasoby na stronie. Pozwala to ograniczyć ryzyko ataków typu XSS i innych zagrożeń związanych z zaufanym źródłem zasobów.
Dodawanie nagłówków bezpieczeństwa na IIS
Wszystkie wymienione nagłówki bezpieczeństwa dodaje się w podobny sposób z poziomu Zarządzania IIS:
- Otwórz Zarządzanie IIS.
- Wybierz swoją witrynę internetową.
- Przejdź do funkcji “HTTP Response Headers”.
- Wybierz “Add…” w sekcji “Actions”:
5. Następnie w polach Name oraz Value uzupełnij odpowiednie wartości w zależności od dodawanego nagłówka:
- HSTS (HTTP Strict Transport Security)
Name: Strict-Transport-Security
Value: max-age=31536000; includeSubDomains; preload - X-Content-Type-Options
Name: X-Content-Type-Options
Value: nosniff - X-Frame-Options
Name: X-Frame-Options
Value: DENY (lub ALLOW-FROM [dla konkretnego źródła]) - X-XSS-Protection
Name: X-XSS-Protection
Value: 1; mode=block - Referrer Policy
Name: Referrer-Policy
Value: same-origin - Content Security Policy (CSP)
Name: Content-Security-Policy
Value: default-src ‘self’; script-src ‘self’
6. Zatwierdź wprowadzone zmiany przyciskiem ‘OK‘. Nagłówki bezpieczeństwa zostały prawidłowo dodane na serwerze IIS.
