我正在尝试在我的应用中为每个响应添加HSTS标头。
我的第一个想法是使用mod_headers - 我将此指令放在documentroot的.htaccess文件中:
Header set Strict-Transport-Security "max-age=7776000"
使用Apache 2.2和mod_php在我的本地设置上工作正常。所有资源都使用适当的HSTS标头进行响应。
我的部署环境使用Apache 2.2和mod_fastcgi,上述技术适用于除 php文件之外的任何资源。
另一个SO question遇到了类似的问题,其中传入的请求(?)标题已被删除 - 但我担心修改响应的标题离开服务器。
如何在.htaccess文件的上下文中向php资源添加响应头?
答案 0 :(得分:1)
根据docs for mod_headers,您可能需要为header指令设置可选的conditional标志。
所以在这种情况下,它会变成
Header always set Strict-Transport-Security "max-age=7776000"