我使用PHP从头开始构建我的网站。为了优化性能,加载时间和安全性,我使用了很多在线工具:谷歌页面速度分析,gtmetrix,dareboost.com,webpagetest等...
Dareboost.com建议我在.htaccess文件中设置标头,例如:
我做到了:
Header set Content-Security-Policy "default-src 'self'; script-src 'self' www.googletagmanager.com ;"
Header always set X-FRAME-OPTIONS "DENY"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
这似乎有点低效:当我查看瀑布时间线时,我发现我所有的资产(CSS,JS,字体,IMG)都使用这些指令,而不是我的第一个GET请求(在www.mydomain.com上) )。
为什么?因此,Dareboost无法理解我是否正确设置了标题。