如何设置内容-安全-策略头？

Question

我想在我的网站中设置内容-安全-策略标题。

我找到了一个设置CSP的模块 (我还没有试过)。但是我想知道在drupal 8内核本身中是否有任何选项可以设置CSP。

Answer 1

我可能有一点偏见，认为内容安全策略模块是向站点添加策略的最佳解决方案，但以下是使用该模块的一些原因：

• 与库API集成，自动生成脚本和样式指令
• 验证策略配置的管理界面。
• 提供一个报告端点来接收策略违规并将它们添加到您的站点日志中，因此您不需要使用像Report-URI.com这样的外部服务(但是它也提供了一个插件来使用它，如果需要的话)，. 报表API模块仍然处于测试阶段，但是它将比CSP的报告处理程序有改进，并且有一个插件可以与CSP模块集成。
• 一些优化以尽可能缩短您的策略(例如，如果像img-src这样的返回到default-src的fetch指令具有相同的值，则省略它)
• 将来，模块将能够与CSP模块集成，根据需要修改策略(启用附加指令、修改每页的策略)。

如果您不需要所有这些附加特性，CSP模块有几个替代方案：

• Security模块允许添加CSP策略头，但它只允许强制策略或仅报告策略，而且它没有许多更新指令的字段。
• HTTP响应标头模块允许您为任何您想要的HTTP头配置静态值
• 在自定义模块中自己的响应事件订阅服务器中设置静态标头。
• 可以在Apache或nginx配置中直接设置标头。