letou

服務器安全:Apache和Nginx的header配置

大寶 1399 0


一、Apache

    Header always append X-Frame-Options SAMEORIGIN
    Header  always  append  Set-Cookie HttpOnly
    Header  always  append  Set-Cookie Secure

二、Nginx

server
{
    add_header X-Frame-Options SAMEORIGIN;
    add_header Set-Cookie HttpOnly;
    add_header Set-Cookie Secure;
 }

效果圖服務器安全:Apache和Nginx的header配置-第1張圖片-萊蕪網站制作中心


HttpOnly屬性——防止程序獲取cookie后進行攻擊

  • 如果Cookie中設置了HttpOnlhy屬性,那么通過程序(JS腳本、Applet等)將無法讀取到Cookie信息,能有效的防止XSS攻擊。

Secure——防止信息傳輸過程中的泄露

  • true —— 只能在HTTPS連接中傳輸,HTTP連接不會傳輸,所以不會被竊取到Cookie的具體內容

  • false —— HTTP、HTTPS連接都可以傳輸

Cookie的HttpOnly、secure、domain屬性 - AmyZYX - 博客園  https://www.cnblogs.com/amyzhu/p/9678489.html


Apache設置 header 指令詳解

描述: 配置HTTP響應頭


句法: Header [condition] set|append|add|unset|echo header [value] [env=[!]variable]


該指令可以替換,合并或刪除HTTP響應頭。在內容處理程序和輸出過濾器運行之后,頭文件被修改,允許修改傳出頭文件。


可選條件可以是 onsuccess 或者 always。它確定應該操作哪個內部頭表。onsuccess代表 2xx狀態碼而 always 代表所有狀態碼(包括2xx)。特別是如果你想取消設置某些模塊的頭文件,你應該試試,哪個表會受到影響。


它執行的動作由第二個參數決定。這可以是以下值之一:


set

響應標題被設置,用這個名字替換任何以前的標題。該值可以是格式字符串。


append

響應頭被追加到任何現有的相同名稱的頭。當一個新的值被合并到一個已經存在的頭上時,它將與逗號分開。這是給標題多個值的HTTP標準方式。


add

響應標題被添加到現有的標題集,即使這個標題已經存在。這可能會導致兩個(或更多)標題具有相同的名稱。這可能會導致不可預見的后果,應該使用“附加”來代替。


unset

如果該名稱存在,則會刪除該名稱的響應標題。如果有多個相同名稱的標題,則全部將被刪除。


echo

帶有這個名字的請求頭在回應頭中回顯。標題可能是一個正則表達式。


該參數后面跟著一個 header 名稱,可以包含最后的冒號,但不是必需的。對于 set,append,add 和unset,大小寫是忽視的,但 echo 的 header 名稱是大小寫敏感的,并且可以是正則表達式


發表評論 (已有0條評論)

還木有評論哦,快來搶沙發吧~

黑彩时时彩