Question

我见过类似的问题，但没有一个能完全回答这个问题。因此，我有一个由Firebase托管的应用程序。我最近对其进行了一些渗透测试，并意识到我需要在网站上添加一些安全标头。

具体是：X-Frame-Options，X-XSS-Protection和X-Content-Type-Options。问题是我真的不知道该怎么做。经过一些研究，我可以看到将标头添加到我的Firebase应用程序的方法是将标头添加到我的firebase.json文件中，我将在这里显示

{
  "hosting": {
    "site": "xxxxxxxxxxxxxxxxx",
    "public": "dist/xxxxxxxxxxxx",
    "ignore": [
      "firebase.json",
      "**/.*",
      "**/node_modules/**"
    ],
    "headers" : [ {
      "source": "**",
      "headers" : [{
        "key" : "Access-Control-Allow-Origin",
        "value" : "*"
      }]
    }],
    "rewrites": [
      {
        "source": "**",
        "destination": "/index.html"
      }
    ]
  }
}

我需要将它们添加到该标题的“标题”部分吗？

对不起，我们深表歉意。

Answer 1

几乎完整的Firebase安全标头

我刚刚使用了report-uri.com

来创建您的内容安全策略

failed to decode downloaded font

Answer 2

"headers" : [ {
      "source": "**",
      "headers" : [
        { "key" : "Access-Control-Allow-Origin", "value" : "*" },
        { "key" : "X-Frame-Options", "value" : "BLOCK" },
        { "key" : "X-Content-Type-Options", "value" : "nosniff" },
        { "key" : "X-XSS-Protection", "value" : "1; mode=block" }
      ]
    }],

这似乎工作得很好。

如何向Firebase托管应用程序添加安全标头

2 个答案: