Nagłówki HTTP w WEBCON BPS

Facebooktwitterpinterestlinkedinmail
Dotyczy wersji 2020.1.3.321 autor: Tomasz Słuszniak

 

Wprowadzenie

Wraz z wersją 2020.1.3.321 w WEBCON BPS pojawiła się możliwość definiowana dodatkowych nagłówków http zwracanych w odpowiedziach z serwera www.

Funkcjonalność tę możemy wykorzystać np. do zwiększenia poziomu bezpieczeństwa Portalu WEBCON BPS. Ma to szczególne znaczenie w przypadku, kiedy Portal BPS dostępny jest publicznie w sieci Internet.

Definiowanie nagłówków odbywa się w WEBCON BPS Designer Studio w Konfiguracji Systemu -> Parametry globalne:

 

Przykład

Do weryfikacji poziomu bezpieczeństwa naszego Portalu BPS skorzystamy ze strony https://securityheaders.com/.

W przypadku, gdy Portal BPS oraz IIS nie mają zdefiniowanych żadnych nagłówków dotyczących bezpieczeństwa, otrzymamy ocenę „F”.

 

Natomiast, w prosty i szybki sposób możemy osiągnąć ocenę „A” lub nawet „A+”.

W celu poprawy bezpieczeństwa skupimy się na 4 podstawowych nagłówkach:

  1. Referrer-Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

  1. Strict-Transport-Security

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

  1. X-Content-Type-Options

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

  1. Content-Security-Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

Zachęcamy do lektury opisu działania każdego z nagłówków.

 

Wartości nagłówków użytych w przykładzie:

Nazwa Wartość
Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000; includeSubDomains
X-Content-Type-Options nosniff
Content-Security-Policy default-src ‚self’; object-src ‚none’; script-src ‚self’ ‚unsafe-inline’ ‚unsafe-eval’ maps.googleapis.com; style-src ‚self’ ‚unsafe-inline’ fonts.googleapis.com; img-src data: ‚self’ maps.gstatic.com *.googleapis.com *.ggpht; font-src ‚self’ fonts.gstatic.com; frame-src ‚self’ *.powerbi.com; frame-ancestors ‚self’ https://*.sharepoint.com https://*.office.com teams.microsoft.com *.teams.microsoft.com *.skype.com;

 

Aby dodać nagłówek w BPS, wystarczy kliknąć „+” w obszarze nagłówków i wpisać nazwę oraz wartość dla każdego z nich.

 

Po uzupełnieniu listy nagłówków wystarczy zapisać zmiany przyciskiem „Save” u góry ekranu. Zmiany będą widoczne od razu.

Tak zdefiniowane nagłówki dotyczące bezpieczeństwa skutkują końcową oceną „A”.

 

Uwaga:

Przedstawiony przykład jest jedynie prezentacją możliwości nowej funkcjonalności WEBCON BPS. Konfiguracja nie jest zaleceniem producenta, nie jest też wzorem dla stosowanych konfiguracji. Konfigurację należy dostosować indywidualnie do potrzeb oraz zaleceń administratorów.