Cómo añadir cabeceras de seguridad a nginx para obtener una “A” en securityheaders.com

After auditing quite a few sites, I tested my own site for security headers. And guess what happened? Después de auditar unos cuantos sitios, probé a comprobar las cabeceras de mi propio sitio web y… ¿adivináis qué pasó?

Wow, pues hay que arreglarlo 😄

En realidad solo tuve que añadir esto:

# Set security headers
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'";
add_header Referrer-Policy "no-referrer";

# Set HSTS to 365 days
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload' always;

Y listo:

Más tarde me ocuparé de Permissions-Policy, cuando tenga tiempo de leerlo y entenderlo.