innstory

PHP如何設定HTTP安全標頭？

PHP該如何將以下安全標頭添加到網站？

X-Frame-Options  防止點擊劫持攻擊
X-XSS-Protection  減輕跨站腳本（XSS）攻擊
X-Content-Type-Options  防止可能的網絡釣魚或XSS攻擊

以下透過2種方式添加：
(1)在.htaccess文件中加入

＜IfModule mod_headers.c＞

Header set X-Frame-Options ＂DENY＂

Header set X-XSS-Protection ＂1; mode=block＂

Header set X-Content-Type-Options ＂nosniff＂

＜/IfModule＞

這方式是一勞永逸。
(2)直接添加在PHP檔案裡：

header('X-Frame-Options: DENY');

header('X-XSS-Protection: 1; mode=block');

header('X-Content-Type-Options: nosniff');

麻煩的是在每支PHP的表頭都得添加，所以還是使用.htaccess設定或是直接設定在Apache裡比較省工。

另外，以上方式選擇一種設定即可，重複設定似乎反而會失效。


若不知道自己的安全標頭不知道是否有設定正確，可以使用Mozilla Observatory做測試：Mozilla Observatory

以上紀錄~