- 08 Feb 2024
- 2 Minutos para leer
Configuración de seguridad HTTP
- Actualizado en 08 Feb 2024
- 2 Minutos para leer
HTTPS cifra los datos de inicio de sesión del usuario, por lo que es difícil detectar el nombre de usuario y la contraseña de un usuario en la red. Necesitas habilitar HTTPS en tu servidor antes de activar esta configuración, o serás bloqueado en tu sitio.
Cada servidor web tiene un método diferente para habilitar HTTPS, por lo que debes verificar la documentación de tu servidor web.
La página de seguridad HTTP tiene las siguientes opciones.
Configuración | Descripción | Notas: |
---|---|---|
Solo 'cookies' seguras | Si el servidor solo acepta conexiones https, se recomienda habilitar el envío de cookies seguras. Si la opción está habilitada, por favor, asegúrate de que el servidor web no esté aceptando http://, o configura una redirección permanente a la dirección https://. Cuando la dirección wwwroot no comienza con https:// esta configuración será ignorada. | - |
Solo 'cookies' http | Habilita la característica PHP 5.2.0. Los navegadores tienen instrucciones de enviar cookies solo con solicitudes http reales. Las cookies no deben ser accesibles a través de lenguajes de secuencias de comandos. No todos los navegadores pueden ejecutar esta opción, y podría no ser totalmente compatible con el código actual. Ayuda a prevenir algunos tipos de ataques XSS. | - |
Seguridad de transporte estricta HTTP (HSTS) | Cuando se habilitan los navegadores habilitados, siempre se debe usar el protocolo https: // al acceder al servidor y los usuarios no pueden ignorar las advertencias de negociación de SSL. | Ten en cuenta que si los navegadores estan habilitados recordarán esta configuración durante seis meses e impedirán el acceso a través de http: // incluso si esta configuración se desactiva más tarde. |
Referencias seguras | Cuando se habilitan los navegadores habilitados, siempre se debe usar el protocolo https: // al acceder al servidor y los usuarios no pueden ignorar las advertencias de negociación de SSL. | Ten en cuenta que si se habilita esta opción, los navegadores recordarán esta configuración durante seis meses y evitarán el acceso a través http://, de incluso si esta configuración se deshabilita más adelante. Seguridad de transporte estricta HTTP (HSTS) |
Permitir incrustación de marco | Permitir la incrustación de este sitio en marcos en sitios externos. No se recomienda habilitar esta función por razones de seguridad. | - |
Dominio cruzado permitido | Permitir la incrustación de este sitio en marcos en sitios externos. No se recomienda habilitar esta función por razones de seguridad. Las opciones disponibles son las siguientes:
| - |
Lista de puertos cURL bloqueados | Pon cada entrada en una nueva línea. Las entradas válidas son:
No se permiten líneas en blanco. | - |
Lista de puertos cURL autorizados | Listado de número de puertos a los que cURL puede conectarse. Las entradas válidas son únicamente números enteros. Pon cada entrada en una nueva línea. Si se deja vacío, todos los puertos están permitidos. Si está especificado, en la mayoría de casos, tanto el puerto 443 como el 80 deberían estar especificados para cURL para conectar a los puertos estándar de HTTPS y HTTP. | - |
© Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.