我想在我的React网站中包含Content-Security-Policy。这是我在头部添加到index.html的内容:
angular.json我使用此网站-https://www.htbridge.com/websec/检查我的网站是否安全并且仍然显示“ F”。问题是我有许多错误的配置,例如:X-框架选项,X-XSS保护,X内容类型选项以及内容安全策略。我是在做错事还是应该添加更多“设置”以确保安全?
答案 0 :(得分:1)
Content-Security-Policy只是避免某种攻击的安全措施之一,可在React index.html中使用。
但是,您提到的其他方法(X-Frame-Options,X-XSS-Protection,X-Content-Type-Options等)实际上是在接收到HTTP请求时在服务器端设置的。
例如,如果托管您的React网站的服务器是Apache,那么您可以在“ .htaccess ”文件中添加以下行:
# Set Strict-Transport-Security
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
# Set X-Frame-Options (Protect against page-framing and click-jacking)
Header always append X-Frame-Options SAMEORIGIN
# Set X-Content-Type-Options (Protect against content-sniffing)
Header set X-Content-Type-Options nosniff
# Set X-XSS-Protection (Protect against XSS attacks)
Header set X-XSS-Protection "1; mode=block"
# Set Referrer-Policy
Header set Referrer-Policy "same-origin"