Las Cabeceras de seguridad HTTP son parámetros que se envían en una petición o respuesta HTTP entre el cliente y el servidor para proporcionar información esencial sobre la transacción que se esté llevando a cabo, por ejemplo: cómo un navegador debe almacenar en caché el contenido, qué tipo de contenido es, el software que se ejecuta en el servidor y mucho más. Estas cabeceras siempre utilizan la sintaxis Cabecera: Valor.
Esta información es de gran valor para un atacante, ya que estos mensajes de bienvenida del servidor web son la pista principal para conocer qué servicio es el que se ofrece, qué tecnología se está utilizando y ver los posibles errores al manipular peticiones. Podemos decir que sería una de las principales actividades que realizaría un atacante durante la fase de reconocimiento.
Estos valores o sentencias nos permiten proteger nuestros sitios web de archivos maliciosos XSS y posible spam.
Protege a los visitantes de ataques del tipo Clickjacking. Un usuario malintencionado podría cargar un iFrame malicioso en su su servidor y establecer el sitio legítimo como fuente, de esta manera, podría obligar al usuario a hacer click en partes de la aplicación sin ser consciente de ello.
Conociendo las posibles actividades que realizaría un atacante, hemos reforzado los encabezados de respuesta HTTP para hacer su sitio más seguro y proporcionar al navegador más información sobre cómo deseamos que se comporte con respecto a nuestros sitios.
