我见过类似的问题,但没有一个能完全回答这个问题。因此,我有一个由Firebase托管的应用程序。我最近对其进行了一些渗透测试,并意识到我需要在网站上添加一些安全标头。
具体是:X-Frame-Options
,X-XSS-Protection
和X-Content-Type-Options
。问题是我真的不知道该怎么做。经过一些研究,我可以看到将标头添加到我的Firebase应用程序的方法是将标头添加到我的firebase.json
文件中,我将在这里显示
{
"hosting": {
"site": "xxxxxxxxxxxxxxxxx",
"public": "dist/xxxxxxxxxxxx",
"ignore": [
"firebase.json",
"**/.*",
"**/node_modules/**"
],
"headers" : [ {
"source": "**",
"headers" : [{
"key" : "Access-Control-Allow-Origin",
"value" : "*"
}]
}],
"rewrites": [
{
"source": "**",
"destination": "/index.html"
}
]
}
}
我需要将它们添加到该标题的“标题”部分吗?
对不起,我们深表歉意。
答案 0 :(得分:2)
答案 1 :(得分:0)
"headers" : [ {
"source": "**",
"headers" : [
{ "key" : "Access-Control-Allow-Origin", "value" : "*" },
{ "key" : "X-Frame-Options", "value" : "BLOCK" },
{ "key" : "X-Content-Type-Options", "value" : "nosniff" },
{ "key" : "X-XSS-Protection", "value" : "1; mode=block" }
]
}],
这似乎工作得很好。