Headers necesarios de Apache y Nginx para mitigar Cross-site Scripting
APACHE SET SECURITY HEADERS
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "default-src 'self';" #OJO CON ESTE
Header set X-Content-Type-Options nosniff
Gist: https://gist.github.com/cloudopsTK/cf2393e36bc67a4e2620a5abda9fa021
NGINX SET SECURITY HEADERS
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self';"; #OJO CON ESTE
add_header X-Content-Type-Options nosniff;
Gist: https://gist.github.com/cloudopsTK/ebb5aa8fd75c3267eb043d0b2eabf4d7
Para las líneas comentadas con "Ojo con este" se deben configurar correctamente los parámetros de Content Security Policy (CSP). Una mala configuración de estos parámetros puede ocacionar problemas en nuestro website/aplicación. Yo recomiendo obtener estos parámetros con la extensión de Firefox "Laboratory".
Guthub: https://github.com/april/laboratory
Firefox Add-ons: https://addons.mozilla.org/en-US/firefox/addon/laboratory-by-mozilla/