如何添加HTTP安全头？

Question

如何将下列安全标题添加到我的网站？

X-Frame-Options -防止点击攻击

X-XSS-Protection -减轻跨站点脚本攻击

X-Content-Type-Options -防止可能的网络钓鱼或XSS攻击

Answer 1

可以添加以下两种方式：

Apache或.htaccess 文件

<IfModule mod_headers.c>
Header set X-Frame-Options "DENY"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
</IfModule>

Apache/htaccess方法很可能是首选的方法。如果将其添加到您的配置文件(可能位于httpd.conf中，也可能位于vhost配置文件中)(实际上取决于服务器的安装方式)，则可以将其放置在<Directory>元素中。要使用.htaccess，站点的配置必须有AllowOverride All。虽然它非常标准，但是您也必须在Apache中安装mod_headers库。

header('X-Frame-Options: DENY');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');

使用PHP方法，您将需要将其写入每个响应，因此，如果您没有可以这样做的引导程序，我建议您使用apache文件或.htaccess文件。