【问题标题】:Security Headers in .htaccess Not Working in EasyApache4/Apache 2.4 and PHP 7.0.htaccess 中的安全标头在 EasyApache4/Apache 2.4 和 PHP 7.0 中不起作用
【发布时间】:2018-01-01 22:40:34
【问题描述】:

来自英国的下午好,

目前我们的安全标头存在一些问题,可以像我们经常得到的那样提供一些很棒的建议。

我们最近使用 EasyApache4 将服务器更新到 Apache 2.4,并将 PHP 升级到版本 7。我们以前在 .htaccess 文件中的 mod_headers 不再工作,我们需要让它回到正轨。

下面的代码可以帮忙吗?

<IfModule mod_headers.c>
    Header always set X-Xss-Protection "1; mode=block"
    Header always set X-Content-Type-Options "nosniff"
    Header always append X-Frame-Options ALLOWALL
    Header always set Strict-Transport-Security "max-age=31536000"
    Header always set Referrer-Policy no-referrer
</IfModule>

【问题讨论】:

    标签: linux .htaccess security http-headers apache2.4


    【解决方案1】:

    在 php 代码中使用安全标头打开 .htaccess 文件并粘贴以下代码以解决所有问题。请在 wordpress .htaccess 文件中也使用此代码。

    # Security Headers
    <IfModule mod_headers.c>
        Header set X-XSS-Protection "1; mode=block"
        Header set X-Frame-Options "SAMEORIGIN"
        Header set X-Content-Type-Options "nosniff"
        Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
        # Header set Content-Security-Policy ...
        Header set Referrer-Policy "same-origin"
        Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
        Header always set Permissions-Policy: "accelerometer=(self), autoplay=(self), camera=(self), document-domain=(self), encrypted-media=(self), fullscreen=(self), geolocation=(self), gyroscope=(self), magnetometer=(self), microphone=(self), midi=(self), payment=(self), picture-in-picture=(self), sync-xhr=(self), usb=(self)"
        Header always set Content-Security-Policy "upgrade-insecure-requests"
    </IfModule>
    

    【讨论】:

      【解决方案2】:

      我唯一不同的是不使用mod_headers并将每个选项括在双引号中。

      Header always set X-Frame-Options "ALLOWALL"
      Header always set Strict-Transport-Security "max-age=31536000"
      Header always set X-Xss-Protection "1; mode=block"
      Header always set X-Content-Type-Options "nosniff"
      Header always set Referrer-Policy "no-referrer"
      

      您可以在https://securityheaders.io/ 上查看这些设置及更多信息。姊妹网站https://report-uri.io/ 提供内容安全策略设置和报告支持。

      【讨论】:

        猜你喜欢
        • 2022-11-08
        • 2021-03-25
        • 2019-04-04
        • 1970-01-01
        • 2013-06-05
        • 2020-02-28
        • 1970-01-01
        • 1970-01-01
        • 2019-10-11
        相关资源
        最近更新 更多