如何将以下安全标头添加到我的网站?
X-Frame-Options-防止Clickjacking攻击
X-XSS-Protection-缓解跨站点脚本(XSS)攻击
X-Content-Type-Options-防止可能的网络钓鱼或XSS攻击
答案 0 :(得分:1)
您可以通过两种方式添加这些标头:
Apache Conf或.htaccess文件
<IfModule mod_headers.c>
Header set X-Frame-Options "DENY"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
</IfModule>
Apache / htaccess方法很可能是首选方法。如果将其添加到配置文件中(可能位于httpd.conf中,也可能位于虚拟主机配置文件中(具体取决于服务器的设置方式),则可以将其放置在<Directory>中元件。要使用.htaccess,站点的配置必须具有AllowOverride All。尽管这很标准,但是您还必须在Apache中安装mod_headers库。
PHP
header('X-Frame-Options: DENY');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
使用PHP方法,您将需要在每个响应中编写此代码,因此,如果您没有可以执行此操作的引导程序,建议您使用apache配置文件或.htaccess文件。