- Mark Chang
- 0°C
- 4 年又 289 天
PHP如何設定HTTP安全標頭?
PHP該如何將以下安全標頭添加到網站?X-Frame-Options 防止點擊劫持攻擊
X-XSS-Protection 減輕跨站腳本(XSS)攻擊
X-Content-Type-Options 防止可能的網絡釣魚或XSS攻擊
以下透過2種方式添加:
(1)在.htaccess文件中加入
<IfModule mod_headers.c>
Header set X-Frame-Options "DENY"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
</IfModule>這方式是一勞永逸。
(2)直接添加在PHP檔案裡:
header('X-Frame-Options: DENY');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');麻煩的是在每支PHP的表頭都得添加,所以還是使用.htaccess設定或是直接設定在Apache裡比較省工。
另外,以上方式選擇一種設定即可,重複設定似乎反而會失效。
若不知道自己的安全標頭不知道是否有設定正確,可以使用Mozilla Observatory做測試:Mozilla Observatory
以上紀錄~
https://innstory.com/story-PHP如何設定HTTP安全標頭-2701
