服务器安全:Apache和Nginx的header配置

大宝 5060 0


一、Apache

    Header always append X-Frame-Options SAMEORIGIN
    Header  always  append  Set-Cookie HttpOnly
    Header  always  append  Set-Cookie Secure

二、Nginx

server
{
    add_header X-Frame-Options SAMEORIGIN;
    add_header Set-Cookie HttpOnly;
    add_header Set-Cookie Secure;
 }

效果图服务器安全:Apache和Nginx的header配置-第1张图片-莱芜网站制作中心


HttpOnly属性——防止程序获取cookie后进行攻击

  • 如果Cookie中设置了HttpOnlhy属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,能有效的防止XSS攻击。

Secure——防止信息传输过程中的泄露

  • true —— 只能在HTTPS连接中传输,HTTP连接不会传输,所以不会被窃取到Cookie的具体内容

  • false —— HTTP、HTTPS连接都可以传输

Cookie的HttpOnly、secure、domain属性 - AmyZYX - 博客园  https://www.cnblogs.com/amyzhu/p/9678489.html


Apache设置 header 指令详解

描述: 配置HTTP响应头


句法: Header [condition] set|append|add|unset|echo header [value] [env=[!]variable]


该指令可以替换,合并或删除HTTP响应头。在内容处理程序和输出过滤器运行之后,头文件被修改,允许修改传出头文件。


可选条件可以是 onsuccess 或者 always。它确定应该操作哪个内部头表。onsuccess代表 2xx状态码而 always 代表所有状态码(包括2xx)。特别是如果你想取消设置某些模块的头文件,你应该试试,哪个表会受到影响。


它执行的动作由第二个参数决定。这可以是以下值之一:


set

响应标题被设置,用这个名字替换任何以前的标题。该值可以是格式字符串。


append

响应头被追加到任何现有的相同名称的头。当一个新的值被合并到一个已经存在的头上时,它将与逗号分开。这是给标题多个值的HTTP标准方式。


add

响应标题被添加到现有的标题集,即使这个标题已经存在。这可能会导致两个(或更多)标题具有相同的名称。这可能会导致不可预见的后果,应该使用“附加”来代替。


unset

如果该名称存在,则会删除该名称的响应标题。如果有多个相同名称的标题,则全部将被删除。


echo

带有这个名字的请求头在回应头中回显。标题可能是一个正则表达式。


该参数后面跟着一个 header 名称,可以包含最后的冒号,但不是必需的。对于 set,append,add 和unset,大小写是忽视的,但 echo 的 header 名称是大小写敏感的,并且可以是正则表达式


抱歉,评论功能暂时关闭!