Еще один механизм повышения защищенности HTTP заголовок Content Security Policy (CSP) позволяет задать список желательных источников контента. CSP устанавливает правила использования для изображений (img-src), шрифтов (font-src), фреймов (frame-src, заменен на child-src), медиа-файлов (media-src), внедренных объектов (object-src), стилей (style-src) и скриптов (script-src), а еще для Ajax-запросов (XMLHttpRequest) и вебсокетов (connect-src).
Метка: mod_headers.c
Дополнительная защита кук — флаг session.cookie_httponly
Кроме флага session.cookie_secure, обеспечивающего передачу кук по защищенному соединению, можно дополнительно усилить защиту, запретив броузеру оперировать куками посредством скриптов. Для этого предназначен еще один флаг session.cookie_httponly
HTTP Strict Transport Security
В теме перехода на https есть такой аспект, как HTTP Strict Transport Security (HSTS) — форсирование защищенного соединения. Это http-заголовок Strict-Transport-Security, указывающий броузеру установить защищенное соединение, даже если переход был по ссылке с указанием протокола http://. Предусмотрен стандартом RFC 6797.