Defiende tu sitio web de ataques de clickjacking con headers HTTP

El clickjacking es un tipo de ataque de ciberdelincuencia cada vez más común. Los ciberdelincuentes utilizan este ataque para engañar a los visitantes de un sitio web y que así hagan clic sobre un vínculo malicioso, o algún botón sobre el que que no habrían hecho clic de otra manera.  Hacen esto superponiendo un vínculo o botón malicioso sobre uno que sí es legítimo. Cuando el usuario hace clic sobre el vínculo legítimo, se termina accediendo al vínculo malicioso.  Los hackers utilizan esta técnica para obtener control sobre cuentas, robar información sensible o infectar sistemas con malware. 

¿Deseas proteger a los visitantes de tu sitio web y prevenir que los hackers añadan scripts a tu sitio web? En este artículo discutimos 4 tipos de cabeceras de respuesta HTTP (HTTP response headers en inglés) que pueden proteger tu sitio web de los ataques de clickjacking. Te recomendamos que instales los 4 headers para así obtener una máxima seguridad. Para cada header hemos añadido recursos que te ayudarán a añadirlo a tu sitio web. Te recomendamos compartir este artículo con tu equipo de desarrollo.

X-Frame-Options

X-Frame-Options es un header HTTP que permite que un servidor web indique si un sitio web puede ser integrado en un iframe o frame. Si el header está configurado para denegar, significa que la página web no puede ser integrada en un iframe o frame. Cualquier intento será bloqueado. Por tanto, este header evita que cualquier agente malintencionado se sirva de técnicas de clickjacking en tu sitio web.

Conoce cómo configurar X-Frame-Options aquí.

X-Content-Type-Options

X-Content-Type-Options es un header de respuesta HTTP que es particularmente importante para los sitios web que permiten que los usuarios carguen archivos. Este header puede ser utilizado para indicar si un sitio web puede o no ser interpretado como un documento HTML válido o como un archivo ejecutable. Al utilizar este header evitas que los hackers inyecten código malicioso en tu web.  

Aprende a configurar el header X-Content-Type-Options aquí.

Content-Security-Policy

Content-Security-Policy  es un header de respuesta HTTP que permite que un servidor web especifíque qué recursos puede cargar el sitio web y desde donde se pueden cargar. Este header también permite que un servidor web especifique qué tipos de plugins pueden ejecutarse en un sitio web. Esto evita que los plugins malintencionados funcionen en tu web.  

Conoce cómo configurar Content-Security-Policy aquí. 

Referrer-Policy

Referrer-Policy  es un header de respuesta HTTP que se utiliza para controlar cómo un sitio web envía información sobre el remitente cuando un usuario hace clic en un vínculo. Este header se puede utilizar para controlar qué tipo de remitentes envía un sitio web y cuáles no. Al utilizar este header evitas que agentes malintencionadas obtengan acceso a información sensitiva, como direcciones IP y credenciales de acceso, utilizándose así para seguir la actividad de un usuario. 

Conoce cómo configurar Referrer-Policy aquí.