Encabezados HTTP | Public-Key-Pins-Report-Only

Posted on by Rudeus Greyrat

HTTP Public-Key-Pins-Report-Only es un encabezado de respuesta que envía un informe al uri de informe especificado en el encabezado si se realiza alguna infracción de fijación.
Pero, a diferencia de Public-Key-Pins, todavía permite que los navegadores se conecten al servidor y no imprima ningún mensaje de error en la pantalla si se viola la fijación.

Debe leer, consulte el artículo HTTP Public-Key-Pins antes de leer esto.

Tipo de encabezado: encabezado de respuesta
Nombre de encabezado prohibido: no

Sintaxis

Public-Key-Pins-Report-Only: pin - sha256 = "pin - value"; 
                                  max - age = expire - time; 
                                  includeSubDomains; 
                                  report - uri = "uri"

Directivas:

  • pin – sha256 = “pin – valor”
    Este pin se usa para especificar múltiples pines para diferentes claves públicas. También podemos usar otros algoritmos hash además de SHA-256 en el futuro.
  • max-age = expire-time
    Esta directiva no se usa en el encabezado Public-Key-Pins-Report-Only, será ignorada por los agentes de usuario y tampoco se almacenará en caché.
  • includeSubDomains
    Este pin especifica que las reglas del sitio también se aplican a los subdominios del sitio. Este parámetro es opcional.
  • informe – uri = «uri»
    Este pin envía el informe de fallas de validación de pin. Este parámetro también es opcional.

Ejemplo:

Public-Key-Pins-Report-Only:
    pin-sha256 = "cUPcTAZWKaASuYWhhneY3oBAkE3h2+soZS7sWs="; 
    pin-sha256 = "M8HztCzM3elS5P4hhyBNf6lHkmjAHKhpGPWE="; 
    includeSubDomains; 
    report-uri = "https://www.geeksforgeeks.org/hpkp-report"

En este ejemplo, el primer pin pin-sha256 = “cUPcTAZWKaASuYWhhneY3oBAkE3h2+soZS7sWs=” es la clave pública del servidor utilizada en producción.

El segundo pin pin-sha256 = “M8HztCzM3elS5P4hhyBNf6lHkmjAHKhpGPWE=” se usa como clave de respaldo.

El tercer pin includeSubDomains representa que la clave es válida para todos los subdominios.

Finalmente, el último pin report-uri = «https://www.geeksforgeeks.org/hpkp-report» explica dónde informar las fallas de validación de pines.

Compatibilidad del navegador:

  • Google Chrome
  • Ópera
  • Firefox
  • explorador de Internet
  • Borde de Microsoft
  • Safari

Publicación traducida automáticamente

Artículo escrito por ManishaYadav30 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *