类别:Linux / 日期:2020-05-02 / 浏览:140 / 评论:0

CSP 指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。

根据网上提供的参考,修改的.. 确保标点符号是有效的,设置的时候被标点符号坑惨了!

Apache&Nginx安全报文设置 https apache nginx tls ssl csp 第1张

#Content-Security-Policy: 通过指定允许加载哪些资源的形式,来防止跨站脚本注入。
#Access-Control-Allow-Origin: 告诉浏览器,允许哪些其他站点的前端 JavaScript 代码对页面发出请求。
#X-XSS-Protection: 指示浏览器停止执行跨站脚本攻击检测。
#X-Content-Type-Options: 确保浏览器遵守应用程序设置的 MIME 类型。
#Strict-Transport-Security: 只能通过 HTTPS 访问网站。

Apache例子设置如下:

<IfModule mod_headers.c> 	
#Header set Content-Security-Policy: default-src'self';img-src'self'https://www.onx8.com;object-src'none';script-src'self';style-src'self';frame-ancestors'self';base-uri'self';form-action'self';
#Header set Access-Control-Allow-Origin: https://www.onx8.com
Header set X-XSS-Protection: 1;mode=block
Header set X-Content-Type-Options: nosniff
Header set Strict-Transport-Security: max-age=31536000;includeSubDomains
</IfModule>

Nginx例子设置如下:

    #add_header Content-Security-Policy "default-src 'self';img-src 'self' https://www.onx8.com;object-src 'none';script-src 'self';style-src 'self';frame-ancestors 'self';base-uri 'self';form-action 'self'";
    #add_header Access-Control-Allow-Origin: https://www.onx8.com;
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Frame-Options deny;
    add_header X-Content-Type-Options nosniff;

设置完成之后可以通过MySSL检测当前网站的安全等级。

赞助

感谢您的打赏~

打开支付宝扫一扫,即可进行扫码打赏哦~

版权声明 : 本文使用「署名-相同方式共享 4.0 国际」创作共享协议,转载或使用请遵守署名协议 / Article Use Creative Commons Attribution-ShareAlike 4.0 International License「CC BY 4.0」

 可能感兴趣的文章

伤心叹戈

评论区

发表评论 / 取消回复

必填

选填

选填

◎欢迎讨论,请在这里发表您的看法及观点。

近期评论