資料載入中

胡言亂語

PHP如何設定HTTP安全標頭?

PHP該如何將以下安全標頭添加到網站?

X-Frame-Options  防止點擊劫持攻擊
X-XSS-Protection  減輕跨站腳本(XSS)攻擊
X-Content-Type-Options  防止可能的網絡釣魚或XSS攻擊

以下透過2種方式添加:
(1)在.htaccess文件中加入
<IfModule mod_headers.c>
Header set X-Frame-Options "DENY"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
</IfModule>

這方式是一勞永逸。
(2)直接添加在PHP檔案裡:
header('X-Frame-Options: DENY');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');

麻煩的是在每支PHP的表頭都得添加,所以還是使用.htaccess設定或是直接設定在Apache裡比較省工。

另外,以上方式選擇一種設定即可,重複設定似乎反而會失效。

PHP如何設定HTTP安全標頭
若不知道自己的安全標頭不知道是否有設定正確,可以使用Mozilla Observatory做測試:Mozilla Observatory

以上紀錄~
 

  • PHP網站安全標頭添加方法
  • 防止點擊劫持攻擊的安全措施
  • 減輕跨站腳本攻擊的標頭設定
  • 使用.htaccess文件添加安全標頭
  • Mozilla Observatory測試網站安全性
https://innstory.com/story-PHP如何設定HTTP安全標頭-2701

上一篇
 設定Postfix使用SMTPServer當作relay主機

下一篇
PHP如何移除xpoweredby資訊 

發表留言

作者簡介

離不開電腦的宅男


推薦閱讀

作者其他相關類別故事

PHP清空陣列函數

PHP清空陣列函數

Mark Chang 8 年又 100 天 2.1K

將整個陣列清空,但之後如果再加入元素,其 index 是往上累加的,而非從 0 開始。 使用 un...

ajax錯誤訊息提示

ajax錯誤訊息提示

Mark Chang 7 年又 349 天 1.4K

ajax目前已經是我寫系統使用非常普遍的方式~ 雖說常寫,但偶爾還是會有鬼打牆的時候發生.......

.htaccess與RewriteEngine一起使用時500內部服務器錯誤

.htaccess與Rewr…

Mark Chang 5 年又 242 天 1.5K

在某些情況下,可能未加載apache中的modrewrite模塊。 這時只需要執行以下指令就可以獲...