Algunos casos de uso pueden requerir que el servidor web Terminal Service Plus devuelva uno o más encabezados HTTP personalizados además de los estándar; por ejemplo, es posible que algunas pruebas de penetración quieran ver encabezados específicos en la respuesta HTTP. Esta característica responde a esta necesidad específica.
Para agregar su propio encabezado HTTP personalizado, debe:
1. Cree el archivo "headers.bin" en la carpeta "*\Clients\webserver" para obtener "*\Clients\webserver\headers.bin".
2. Agregue los encabezados personalizados separados por una nueva línea, como en el siguiente ejemplo:
X-XSS-Protección=1; modo=bloquear
X-Content-Type-Options=nosniff
Opciones de marco X = MISMO ORIGEN
Content-Security-Policy=antepasados del marco 'yo'
Expect-CT=max-age=86400, aplicar
y así sucesivamente como desee como en el ejemplo: header_name=header_content
3. Reinicie el servidor web HTML5 (AdminTool > Web > Reiniciar servidores web) para aplicar los cambios.
Recuerde, la búsqueda frenética de seguridad puede tener un impacto negativo en el rendimiento de HTML5 o hacerlo totalmente inutilizable. No mantenemos una lista de encabezados de buenas prácticas, así que agregue todos sus encabezados bajo su propio riesgo, ya que no brindamos soporte en caso de rotura, ¡excepto recomendamos revertir todos esos cambios!
Desde el motor HTML5 v6.23 es posible definir etiquetas iniciales BROWSER_ONLY y HTML5_ONLY como en el ejemplo
BROWSER_ONLY X-XSS-Protección=1; modo=bloquear
HTML5_ONLY X-Content-Type-Options=nosniff
etc., en tal caso, los encabezados para el servidor web interno y las solicitudes HTML5 se obtendrán de listas diferentes; de lo contrario, se utilizarán encabezados para ambas instancias.
PD: recuerde, mediante el uso de servidores web de terceros como IIS/Apache, etc., los encabezados del servidor web de headers.bin no son efectivos para dichos archivos servidos de instancias de servidores web de terceros, por lo que debe configurar estos encabezados por separado en el servidor web de terceros de destino.
Para activar el encabezado HSTS (Seguridad de transporte estricta) o el grapado OSCP, siga las siguientes preguntas frecuentes. En tal caso, el encabezado HSTS se entregará solo para el protocolo SSL (HTTPS) y se evitará para HTTP, si agrega encabezados HSTS mediante headers.bin. entonces esto puede hacer que el navegador active mensajes de registro no deseados, ya que se debe evitar el uso del encabezado HSTS en el protocolo HTTP.
