【问题标题】:Wordpress .htaccess header security doesn't workWordpress .htaccess 标头安全性不起作用
【发布时间】:2022-11-08 10:43:29
【问题描述】:

我修改了我的.htaccess 文件,如以下链接所示:https://really-simple-ssl.com/site-health-recommended-security-headers/ 但问题是它仍然无法正常工作,当我使用此在线工具对我的网站进行分析时:https://www.getastra.com/,一个人继续说我没有保护我网站的标题。

这是我的 .htaccess 文件的内容:

# Really Simple SSL
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Permissions-Policy: "" 
# End Really Simple SSL

# BEGIN WordPress
# Directives (lines) between "BEGIN WordPress" and "END WordPress" are generated
# dynamically, and should only be changed through WordPress filters.
# Any changes to directives between these markers will be overridden.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>


# END WordPress

【问题讨论】:

  • 然后给我们您网站的 URL,以便我们至少可以自己检查该工具是否真的说实话。
  • @CBroe devone.be,你能告诉我验证的路径吗?
  • 好吧,首先我会使用浏览器开发工具来验证这样的事情,网络面板会向您显示所有标题。在这种情况下,在我看来,所有嵌入资源(JS、CSS、图像)的标题都存在——但主文档本身却没有。但是为什么会这样,我现在不能告诉你。可能与前者是静态资产这一事实有关,而页面本身是通过 PHP 呈现的。或者可能是由于一些缓存插件。
  • 好的,这是我检查的地方。所以,你不知道为什么当我的.htaccess 文件配置良好时我的标题不可见?
  • 就像我说的,他们对静态资源可见。为什么(显然)不是动态创建的内容(页面/帖子本身),我不能用手头的信息告诉你,这需要进一步调查。

标签: wordpress .htaccess


【解决方案1】:

如果有人仍然没有找到答案,我的网站也遇到了同样的问题,我尝试使用 LiteSpeedCache 插件清除我的网站缓存,它成功了!

【讨论】:

    猜你喜欢
    • 2019-10-11
    • 2018-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-06-20
    • 2011-07-03
    • 1970-01-01
    • 2021-11-08
    相关资源
    最近更新 更多