Apache header安全配置
一、header部分项简介
X-Frame-Options 'SAMEORIGIN'; # 只允许本站用 frame 来嵌套
X-XSS-Protection '1; mode=block'; # XSS 保护
X-Content-Type-Options 'nosniff';#响应头可以禁用浏览器的类型猜测行为
Strict Transport Security; (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式
Content-Security-Policy "default-src 'self'"; 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(<script>块内容,内联事件,内联样式),以及禁止执行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。
二、在apache中配置header
配置文件httpd.conf中开启LoadModule headers_module modules/mod_headers.so
加入如下配置:
<IfModule headers_module>
Header set X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection "1; mode=block"
Header set Content-Security-Policy "default-src 'self'" #该项配置限制较多
Header set Strict-Transport-Security 'max-age=63072000;includeSubDomains'
</IfModule>
配置修改之后需要重启apache服务才能生效