security_headers
security_headers
Los security headers instruyen al browser a aplicar restricciones de seguridad que mitigan XSS, clickjacking, MIME sniffing y otros ataques. Son la primera línea de defensa del lado cliente y son requeridos por estándares como OWASP ASVS nivel 2.
When to use
Añadir en Nginx para todas las respuestas del API y del frontend. Verificar con herramientas como securityheaders.com o OWASP ZAP antes de cada release.
Instructions
- Añadir en el bloque
serverde Nginx:add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "DENY" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; add_header Permissions-Policy "camera=(self), microphone=(self), geolocation=()" always; add_header Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self' data:; connect-src 'self'; frame-ancestors 'none';" always;
More from davidcastagnetoa/skills
traefik
Reverse proxy moderno con autodiscovery nativo en Kubernetes y Let's Encrypt
67easyocr
OCR alternativo a PaddleOCR, excelente en caracteres especiales y múltiples scripts
36prisma-nestjs-patterns
>
26c4_model_structurizr
Diagramas de arquitectura C4 como código con Structurizr DSL, versionados en Git
24exif_metadata_analyzer
Analizar metadatos EXIF para detectar edición previa con Photoshop, GIMP u otros editores
19insightface_arcface
Reconocimiento facial de estado del arte con ArcFace R100 para comparar selfie con foto del documento
15