我该如何在我的网站上添加以下安全头?
X-Frame-Options - 防止点击劫持攻击 X-XSS-Protection - 缓解跨站脚本攻击(XSS) X-Content-Type-Options - 防止可能的钓鱼或XSS攻击
X-Frame-Options - 防止点击劫持攻击 X-XSS-Protection - 缓解跨站脚本攻击(XSS) X-Content-Type-Options - 防止可能的钓鱼或XSS攻击
您可以使用两种方式添加这些标题:
Apache配置文件或者.htaccess
文件
<IfModule mod_headers.c>
Header set X-Frame-Options "DENY"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
</IfModule>
Apache/htaccess 方法可能是首选的方法。如果您将其添加到配置文件中,该文件可能位于 httpd.conf
中,也可能位于虚拟主机配置文件中(这取决于服务器的设置方式),则应将其放置在一个 <Directory>
元素内部。要使用 .htaccess
,站点的配置必须具有 AllowOverride All
。虽然这很标准,但您还必须在 Apache 中安装 mod_headers
库。
PHP
header('X-Frame-Options: DENY');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
使用PHP方法时,您需要将此写入每个响应中,因此,如果您没有能够执行此操作的引导程序,则建议利用Apache配置文件或.htaccess
文件。