El protocolo de comunicación HTTP (Hypertext Transfer Protocol) es fundamental en la transmisión de datos a través de la World Wide Web. Opera con un modelo cliente-servidor en el que clientes como navegadores solicitan recursos como páginas de los servidores web. Las solicitudes se realizan mediante requests que se intercambian en formato de mensaje siguiendo un conjunto de reglas y normas definidas por el protocolo.

Los encabezados son clave en la comunicación HTTP, ya que proporcionan información adicional sobre la transacción en curso. Hay dos tipos principales de encabezados:

• Encabezados de request: enviados por el cliente al servidor. Contienen información sobre el request realizado, tal como tipo de método HTTP utilizado, tipo de contenido aceptado, cookies, entre otros.
• Encabezados de respuesta: enviados por el servidor al cliente. Proporcionan información sobre la respuesta enviada, tal como status de la respuesta, tipo de contenido devuelto, cookies, entre otros.

Para más información, consulta la guía de MDN HTTP y la documentación relacionada.

En esta guía, aprenderás a gestionar los encabezados de respuestas de seguridad.

Si necesitas cambiar el valor de un encabezado de respuesta de seguridad en una tienda Store Framework, abre un ticket con el soporte VTEX.

A continuación se indican los encabezados que admiten modificación:

• X-Frame-Options: permite controlar la incorporación de unos sitios web en otros mediante el uso de frames. Este encabezado es una medida de seguridad para proteger a los usuarios contra ataques de clickjacking, que ocurren cuando un atacante engaña al usuario para que haga clic en algún elemento de una página web sin su consentimiento.
• X-Content-Type-Options: protege contra vulnerabilidades de MIME, que ocurren cuando un sitio web permite que los usuarios carguen contenido.
• Content-Security-Policy (CSP): permite controlar los recursos que el agente de usuario puede cargar a una cierta página, lo que ayuda contra ataques de cross-site scripting.
• Strict-Transport-Security (HSTS): les indica a los navegadores que solo se puede acceder al sitio web a través de HTTPS.
• X-XSS-Protection: indica a los navegadores cómo reaccionar ante ataques de cross-site scripting (XSS), activando el filtro integrado para bloquear la ejecución de scripts maliciosos en el navegador del usuario.
• Referrer-Policy: determina la información de origen de la página que se comparte con la página de destino en requests de HTTP. Es esencial para proteger la privacidad de los usuarios y la seguridad del sitio web.

Puedes configurar un encabezado personalizado, es decir, un valor que no está estandarizado y que es una adaptación a los requisitos o funcionalidades particulares de las necesidades de la tienda.

Solo se puede agregar un encabezado personalizado por cuenta.

Si necesitas configurar un encabezado personalizado, abre un ticket con el soporte VTEX y proporciona las claves y valores. Esta información es tu responsabilidad. Puedes utilizar la documentación de MDN HTTP headers como guía.

A continuación se presenta un ejemplo de encabezado personalizado:

El valor max-age=31536000; includeSubdomains en el contexto del encabezado Strict-Transport-Security (HSTS) representa la duración máxima, en segundos, que el navegador debe exigir la aplicación de la política HSTS en un dominio dado y sus subdominios.

La directriz preload indica que se debe incluir el dominio en la lista de carga previa de HSTS para garantizar que los navegadores compatibles solo se conectarán a través de HTTPS, incluso para el request inicial.