- 26 Apr 2022
- 3 Minutos para leer
Configuración de seguridad HTTP
- Actualizado en 26 Apr 2022
- 3 Minutos para leer
HTTPS cifra los datos de inicio de sesión del usuario, por lo que es difícil detectar el nombre de usuario y la contraseña de un usuario en la red. Debe habilitar HTTPS en su servidor antes de activar esta configuración, o se bloqueará su sitio.
Cada servidor web tiene un método diferente para habilitar HTTPS, por lo que debe verificar la documentación de su servidor web.
La página de seguridad HTTP tiene las siguientes opciones.
Configuración | Descripción | Notas |
---|---|---|
Solo 'cookies' seguras | Si el servidor acepta solo conexiones HTTPS, se recomienda habilitar el envío de cookies seguras. Si está habilitado, asegúrese de que el servidor web no acepte http://, o configure la redirección permanente a la dirección https://. Cuando la dirección wwwroot no comienza con https://, esta configuración se desactiva automáticamente. | - |
Solo 'cookies' http | Habilita la función PHP 5.2.0. Se indica a los navegadores que envíen cookies solo con solicitudes reales de http. No se debe acceder a las cookies mediante lenguajes de secuencia de comandos. Esto no es compatible con todos los navegadores y es posible que no sea totalmente compatible con el código actual. Esto ayuda a prevenir algunos tipos de ataques XSS. | - |
Seguridad de transporte estricta | Cuando se habilitan, se indica a los navegadores que siempre usen el protocolo https:// al acceder al servidor, y los usuarios no pueden ignorar las advertencias de negociación SSL. | Ten en cuenta que si los navegadores estan habilitados recordarán esta configuración durante seis meses e impedirán el acceso a través de http: // incluso si esta configuración se desactiva más tarde. |
Referencias seguras | Cuando está habilitado, se indica a los navegadores que siempre utilicen el protocolo https:// cuando accedan al servidor, y los usuarios no pueden ignorar las advertencias de negociación SSL. | Tenga en cuenta que, si está habilitado, los navegadores recordarán esta configuración durante seis meses y evitarán el acceso a través de http://, incluso si esta configuración se desactiva posteriormente. Seguridad estricta en el transporte. |
Permitir incrustación de marco | Permitir la incorporación de este sitio en marcos en sitios externos. No se recomienda habilitar esta función por motivos de seguridad. | - |
Dominio cruzado permitido | Permitir la incorporación de este sitio en marcos en sitios externos. No se recomienda habilitar esta función por motivos de seguridad. Las opciones disponibles son las siguientes:
| - |
Evita que la contraseña se autocomplete en el formulario de acceso | Si se establece en ninguno, se indica a los navegadores que eviten la incorporación de contenido de este servidor en archivos Flash o PDF externos. Si se establece en solo maestro, las políticas se pueden definir en el archivo principal crossdomain.xml. | - |
Lista de puertos cURL bloqueados | Pon cada entrada en una nueva línea. Las entradas válidas son:
No se permiten líneas en blanco. | - |
Lista de puertos cURL autorizados | Listado de número de puertos a los que cURL puede conectarse. Las entradas válidas son únicamente números enteros. Pon cada entrada en una nueva línea. Si se deja vacío, todos los puertos están permitidos. Si está especificado, en la mayoría de casos, tanto el puerto 443 como el 80 deberían estar especificados para cURL para conectar a los puertos estándar de HTTPS y HTTP. | - |
© Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.