需要考虑的 WordPress HTTP 安全标头

mdarafathossain

HSTS 是一种 IETF 标准跟踪协议。它在几年前（2012 年）获得批准后在RFC 6797中进行了指定。 includeSubDomains 允许将规则应用于站点的所有子域。 max-age 让浏览器知道通过 HTTPS 访问网站需要多长时间。 Strict-Transport-Security: max-age=10886400; includeSubDomains 如何向 WordPress 添加 HTTP 严格传输安全标头 您可以使用下面列出的代码将 HSTS 安全标头添加到 Apache 的.htaccess文件或 nginx.conf 文件中： 阿帕奇 <VirtualHost 88.10.194.81:443> Header always set Strict-Transport-Security "max-age=10886400; includeSubDomains" </VirtualHost> NGINX add_header Strict-Transport-Security max-age=10886400; X-XSS 保护 X-XSS-Protection安全标头可让您配置许多现代 Web 浏览器中的 XSS 保护系统。

例如，当已登录的访问者访问包含 XSS 元素的页面时，这可以阻止持续性 XSS 攻击窃取 cookie。 1 个 电报号码数据 参数打开过滤器。 0 参数关闭过滤器。 1；mode=block 使用 1 参数打开过滤器，并使用 mode=block 阻止将要呈现的网站。 1; report=https://thebesturlyoueverhad.com/使用 1 参数打开过滤器，然后从请求中删除任何非法字符，然后使用 r eport= 参数将报告转发到所选的 URL 。 如何向 WordPress 网站添加 X-XSS-Protection 安全标头 可以使用 Apache 的 .htaccess 文件或 NGINX 中的 nginx.conf 文件将 X-XSS-Protection 安全标头添加到您的 WordPress 网站。 阿帕奇 <IfModule。





mod_headers.c> Header set X-XSS-Protection "1; mode=block" </IfModule> NGINX add_header X-Xss-Protection "1; mode=block" always; 内容安全政策 内容安全策略标头可以通过指定允许加载哪些动态资源来帮助您降低现代浏览器上的 XSS 风险。 与 X-Content-Type-Options 类似，Content-Security-Policy 标头为您提供了多种不同的配置方式。现在，我们将在示例中指出这些方式，因为它们对于初学者来说最容易理解。 default-src指定加载内容（如 AJAX 请求、框架、HTML5、图像、js、css、字体和媒体）的标准策略。 script-src 定义什么被视为合法的 JavaScript 源。