【发布时间】:2022-11-08 10:43:29
【问题描述】:
我修改了我的.htaccess 文件,如以下链接所示:https://really-simple-ssl.com/site-health-recommended-security-headers/ 但问题是它仍然无法正常工作,当我使用此在线工具对我的网站进行分析时:https://www.getastra.com/,一个人继续说我没有保护我网站的标题。
这是我的 .htaccess 文件的内容:
# Really Simple SSL
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Permissions-Policy: ""
# End Really Simple SSL
# BEGIN WordPress
# Directives (lines) between "BEGIN WordPress" and "END WordPress" are generated
# dynamically, and should only be changed through WordPress filters.
# Any changes to directives between these markers will be overridden.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
【问题讨论】:
-
然后给我们您网站的 URL,以便我们至少可以自己检查该工具是否真的说实话。
-
@CBroe devone.be,你能告诉我验证的路径吗?
-
好吧,首先我会使用浏览器开发工具来验证这样的事情,网络面板会向您显示所有标题。在这种情况下,在我看来,所有嵌入资源(JS、CSS、图像)的标题都存在——但主文档本身却没有。但是为什么会这样,我现在不能告诉你。可能与前者是静态资产这一事实有关,而页面本身是通过 PHP 呈现的。或者可能是由于一些缓存插件。
-
好的,这是我检查的地方。所以,你不知道为什么当我的
.htaccess文件配置良好时我的标题不可见? -
就像我说的,他们是对静态资源可见。为什么(显然)不是动态创建的内容(页面/帖子本身),我不能用手头的信息告诉你,这需要进一步调查。