วิธีการติดตั้งส่วนหัว HTTP ความปลอดภัยเพื่อป้องกันช่องโหว่

คุณรู้หรือไม่ว่าช่องโหว่ความปลอดภัยส่วนใหญ่สามารถแก้ไขได้โดยการใช้ส่วนหัวที่จำเป็นในส่วนหัวการตอบกลับ?


ความปลอดภัยมีความสำคัญเท่ากับเนื้อหาและ SEO ของเว็บไซต์ของคุณและหลายพันเว็บไซต์ได้รับการแฮ็คเนื่องจากการกำหนดค่าผิดพลาดหรือขาดการป้องกัน หากคุณเป็นเจ้าของเว็บไซต์หรือวิศวกรความปลอดภัยและต้องการปกป้องเว็บไซต์ของคุณจาก Clickjacking, การฉีดโค้ด, ชนิด MIME, XSS, การโจมตีอื่น ๆ จากนั้นคำแนะนำนี้จะช่วยคุณ.

ในบทความนี้ฉันจะพูดคุยเกี่ยวกับ HTTP Headers ต่างๆเพื่อใช้ในหลายเว็บเซิร์ฟเวอร์ขอบเครือข่าย & ผู้ให้บริการ CDN เพื่อการปกป้องเว็บไซต์ที่ดียิ่งขึ้น.

หมายเหตุ:

  • คุณควรสำรองข้อมูลไฟล์การกำหนดค่าก่อนทำการเปลี่ยนแปลง
  • ส่วนหัวบางส่วนอาจไม่รองรับในเบราว์เซอร์ทั้งหมด ตรวจสอบความเข้ากันได้ ก่อนดำเนินการ.
  • ต้องเปิดใช้งาน Mod_headers ใน Apache เพื่อใช้ส่วนหัวเหล่านี้ ตรวจสอบให้แน่ใจบรรทัดต่อไปนี้ไม่ถูกคอมเมนต์ในไฟล์ httpd.conf.

LoadModule headers_module modules / mod_headers.so

  • หลังการใช้งานคุณสามารถใช้เครื่องมือออนไลน์ส่วนหัวที่ปลอดภัยเพื่อตรวจสอบผลลัพธ์.

ใช้งาน WordPress: คุณอาจต้องการลองใช้ ปลั๊กอินส่วนหัว HTTP, ซึ่งดูแลส่วนหัวเหล่านี้และอีกมากมาย.

X-XSS คุ้มครอง

ส่วนหัว X-XSS-Protection สามารถป้องกันบางระดับ XSS (cross-site-scripting) การโจมตีและเข้ากันได้กับ IE 8+, Chrome, Opera, Safari & Android.

Google, Facebook, Github ใช้ส่วนหัวนี้และที่ปรึกษาด้านการทดสอบการเจาะส่วนใหญ่จะขอให้คุณใช้สิ่งนี้.

มีสี่วิธีที่เป็นไปได้ที่คุณสามารถกำหนดค่าส่วนหัวนี้.

ค่าพารามิเตอร์ความหมาย
0ตัวกรอง XSS ถูกปิดใช้งาน
1ตัวกรอง XSS เปิดใช้งานและทำให้หน้าสะอาดหากตรวจพบการโจมตี
1; mode = บล็อกตัวกรอง XSS เปิดใช้งานและป้องกันการแสดงผลหน้าเว็บหากตรวจพบการโจมตี
1; รายงาน = http: //example.com/report_URIตัวกรอง XSS เปิดใช้งานและรายงานการละเมิดหากตรวจพบการโจมตี

มาเริ่มกันเลย 1; mode = บล็อก ในเว็บเซิร์ฟเวอร์ต่อไปนี้.

เซิร์ฟเวอร์ Apache HTTP

เพิ่มรายการต่อไปนี้ใน httpd.conf ของ Apache webserver ของคุณ

ส่วนหัวชุดการป้องกัน X-XSS "1; mode = บล็อก"

รีสตาร์ท apache เพื่อตรวจสอบ

Nginx

เพิ่มสิ่งต่อไปนี้ใน nginx.conf ภายใต้ http block

add_header X-XSS- คุ้มครอง "1; mode = บล็อก";

จำเป็นต้องรีสตาร์ท Nginx เพื่อให้สิ่งนี้สะท้อนให้เห็นในส่วนหัวของการตอบกลับหน้าเว็บของคุณ.

MaxCDN

หากคุณกำลังใช้ MaxCDN, จากนั้นการเพิ่มส่วนหัวนั้นเป็นเรื่องง่ายและทำได้ทันที.

ไปที่ Edge Edge >> คลิก“ กฎใหม่” และเลือก“ เพิ่มส่วนหัว X-XSS-Protection” จากเมนูแบบเลื่อนลง.

edgerules

Microsoft IIS

  • เปิดตัวจัดการ IIS
  • เลือกไซต์ที่คุณต้องการเปิดใช้งานส่วนหัว
  • ไปที่ “ส่วนหัวการตอบสนอง HTTP”
  • คลิก“ เพิ่ม” ภายใต้การกระทำ
  • ป้อนชื่อค่าและคลิกตกลง

iis-x-XSS ป้องกัน

  • รีสตาร์ท IIS เพื่อดูผลลัพธ์

HTTP Strict Transport Security

ส่วนหัว HSTS (HTTP Strict Transport Security) เพื่อให้แน่ใจว่าการสื่อสารทั้งหมดจากเบราว์เซอร์จะถูกส่งผ่าน HTTPS (HTTP Secure) วิธีนี้ป้องกันไม่ให้คลิกผ่าน HTTPS และแจ้งขอ HTTP ไปยัง HTTPS.

ก่อนที่จะใช้ส่วนหัวนี้คุณต้องแน่ใจว่าหน้าเว็บไซต์ทั้งหมดของคุณสามารถเข้าถึงได้ผ่าน HTTPS มิฉะนั้นพวกเขาจะถูกบล็อก.

ส่วนหัว HSTS ได้รับการสนับสนุนบนเบราว์เซอร์เวอร์ชันล่าสุดที่สำคัญทั้งหมดเช่น IE, Firefox, Opera, Safari และ Chrome มีการกำหนดค่าพารามิเตอร์สามแบบ.

ค่าพารามิเตอร์ความหมาย
max-ageระยะเวลา (เป็นวินาที) เพื่อบอกเบราว์เซอร์ว่าคำขอใช้ได้เฉพาะผ่าน HTTPS.
includeSubDomainsการกำหนดค่านั้นใช้ได้สำหรับโดเมนย่อยเช่นกัน.
พรีโหลดใช้หากคุณต้องการให้โดเมนของคุณรวมอยู่ใน รายการพรีโหลด HSTS

ดังนั้นขอยกตัวอย่างการตั้งค่า HSTS เป็นเวลาหนึ่งปีรวมถึงการโหลดล่วงหน้าสำหรับโดเมนและโดเมนย่อย.

เซิร์ฟเวอร์ Apache HTTP

คุณสามารถใช้ HSTS ใน Apache ได้โดยเพิ่มรายการต่อไปนี้ในไฟล์ httpd.conf

ส่วนหัวชุด Strict-Transport-Security "max-age = 31536000; includeSubDomains; พรีโหลด"

รีสตาร์ท apache เพื่อดูผลลัพธ์

Nginx

ในการกำหนดค่า HSTS ใน Nginx ให้เพิ่มรายการถัดไปใน nginx.conf ภายใต้คำสั่งเซิร์ฟเวอร์ (SSL)

add_header ขั้นสูง – การขนส่ง – การรักษาความปลอดภัย ‘อายุสูงสุด = 31536000 includeSubDomains; พรีโหลด ‘;

ตามปกติคุณจะต้องรีสตาร์ท Nginx เพื่อยืนยัน

Cloudflare

หากคุณใช้ Cloudflare คุณสามารถเปิดใช้งาน HSTS ได้ในไม่กี่คลิก.

  • เข้าสู่ระบบเพื่อ Cloudflare และเลือกไซต์
  • ไปที่แท็บ“ Crypto” และคลิก“ เปิดใช้งาน HSTS”

CloudFlare-HSTS-config

เลือกการตั้งค่าที่คุณต้องการและการเปลี่ยนแปลงจะมีผลทันที.

Microsoft IIS

เปิดตัวจัดการ IIS และเพิ่มส่วนหัวโดยไปที่ “HTTP Response Headers” สำหรับเว็บไซต์นั้น ๆ.

ใช้ IIS HSTS

รีสตาร์ทไซต์

X-Frame-ตัวเลือก

ใช้ส่วนหัว X-Frame-Options เพื่อป้องกัน Clickjacking ช่องโหว่ในเว็บไซต์ของคุณ ด้วยการใช้ส่วนหัวนี้คุณสั่งให้เบราว์เซอร์ไม่ให้ฝังหน้าเว็บของคุณในเฟรม / iframe นี่มีข้อ จำกัด บางประการเกี่ยวกับการสนับสนุนเบราว์เซอร์ดังนั้นคุณต้องตรวจสอบก่อนนำไปใช้.

คุณสามารถกำหนดค่าพารามิเตอร์ทั้งสามต่อไปนี้.

ค่าพารามิเตอร์ความหมาย
SAMEORIGINเฟรม / iframe ของเนื้อหาได้รับอนุญาตจากแหล่งกำเนิดเว็บไซต์เดียวกันเท่านั้น.
ปฏิเสธป้องกันโดเมนใด ๆ เพื่อฝังเนื้อหาของคุณโดยใช้ frame / iframe.
อนุญาตจากอนุญาตการวางกรอบเนื้อหาใน URI ที่เจาะจงเท่านั้น.

ลองมาดูวิธีการใช้งาน“ปฏิเสธ” ดังนั้นไม่มีโดเมนฝังหน้าเว็บ.

อาปาเช่

เพิ่มบรรทัดต่อไปนี้ใน httpd.conf และรีสตาร์ทเว็บเซิร์ฟเวอร์เพื่อตรวจสอบผลลัพธ์.

ส่วนหัวต่อท้าย X-Frame-Options DENY เสมอ

Nginx

เพิ่มสิ่งต่อไปนี้ใน nginx.conf ภายใต้คำสั่งเซิร์ฟเวอร์ / บล็อก.

add_header X-Frame-Options“ DENY”;

รีสตาร์ทเพื่อตรวจสอบผลลัพธ์

F5 LTM

สร้าง iRule ด้วยข้อมูลต่อไปนี้และเชื่อมโยงกับเซิร์ฟเวอร์เสมือนที่เกี่ยวข้อง.

เมื่อ HTTP_RESPONSE {

HTTP :: ส่วนหัวแทรก "X-Frame ตัวเลือก" "ปฏิเสธ"

}

คุณไม่จำเป็นต้องรีสตาร์ทอะไรการเปลี่ยนแปลงจะปรากฏในอากาศ.

WordPress

คุณสามารถทำให้ส่วนหัวนี้ถูกนำไปใช้ผ่าน WordPress ได้เช่นกัน เพิ่มสิ่งต่อไปนี้ในไฟล์ wp-config.php

ส่วนหัว (‘X-Frame-Options: DENY);

หากคุณไม่สะดวกในการแก้ไขไฟล์คุณสามารถใช้ปลั๊กอินตามที่อธิบายไว้ที่นี่หรือที่กล่าวถึงข้างต้น.

Microsoft IIS

เพิ่มส่วนหัวโดยไปที่ “HTTP Response Headers” สำหรับเว็บไซต์นั้น ๆ.

iis-x-กรอบตัวเลือก

รีสตาร์ทไซต์เพื่อดูผลลัพธ์.

X-Content-Type-ตัวเลือก

ป้องกันไม่ให้ MIME พิมพ์ความเสี่ยงด้านความปลอดภัยโดยเพิ่มหัวข้อนี้ในการตอบสนอง HTTP ของหน้าเว็บ มีส่วนหัวนี้แนะนำเบราว์เซอร์ที่จะต้องพิจารณาประเภทของไฟล์ตามที่กำหนดและไม่อนุญาตการดมกลิ่นของเนื้อหา มีเพียงพารามิเตอร์เดียวที่คุณต้องเพิ่ม“ nosniff”.

มาดูวิธีการโฆษณาหัวข้อนี้.

อาปาเช่

คุณสามารถทำได้โดยเพิ่มบรรทัดด้านล่างในไฟล์ httpd.conf

ส่วนหัวตั้งค่า X-Content-Type-Options nosniff

อย่าลืมรีสตาร์ทเว็บเซิร์ฟเวอร์ Apache เพื่อให้การกำหนดค่าใช้งานได้.

Nginx

เพิ่มบรรทัดต่อไปนี้ในไฟล์ nginx.conf ภายใต้เซิร์ฟเวอร์บล็อก.

add_header X-Content-Type-Options nosniff;

ตามปกติคุณต้องรีสตาร์ท Nginx เพื่อตรวจสอบผลลัพธ์.

Microsoft IIS

เปิด IIS แล้วไปที่ HTTP Response Headers

คลิกที่เพิ่มและป้อนชื่อและความคุ้มค่า

ใช้ IIS ประเภท MIME

คลิกตกลงและรีสตาร์ท IIS เพื่อตรวจสอบผลลัพธ์.

การตรึงคีย์สาธารณะ HTTP

ลดคนตรงกลางให้เหลือน้อยที่สุด (MITM) โจมตีความเสี่ยงโดยการปักหมุดใบรับรอง สิ่งนี้เป็นไปได้ด้วย HPKP ส่วนหัว (การตรึงรหัสสาธารณะ HTTP).

คุณสามารถตรึงรหัสสาธารณะใบรับรองหลักหรือใบรับรองทันที ในขณะที่เขียน HPKP ปัจจุบันทำงานใน Firefox และ Chrome และรองรับอัลกอริทึมแฮช SHA-256.

มีการกำหนดค่าพารามิเตอร์ที่เป็นไปได้สี่แบบ.

ค่าพารามิเตอร์ความหมาย
รายงาน URI =” URL”รายงานไปยัง URL ที่ระบุหากการตรวจสอบความถูกต้องของพินล้มเหลว นี่เป็นทางเลือก.
ขา SHA256 =” sha256key”ระบุพินได้ที่นี่
max-age =เบราว์เซอร์เพื่อจดจำเวลาในหน่วยวินาทีที่ไซต์สามารถเข้าถึงได้โดยใช้หนึ่งในคีย์ที่ตรึงไว้เท่านั้น.
IncludeSubDomainsสิ่งนี้ใช้ได้กับโดเมนย่อยเช่นกัน.

มาดูตัวอย่างส่วนหัว HPKP จาก facebook.com

คีย์สาธารณะหมุดรายงานเท่านั้น: max-age = 500; ขา SHA256 ="WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18 ="; ขา SHA256 ="R / mIkG3eEpVdm + u / เกาะ / cwxzOMo1bk4TyHIlByibiA5E ="; ขา SHA256 ="q4PO2G2cbkZhZ82 + + JgmRUyGMoAeozA BSXVXQWB8XWQ ="; รายงาน URI = http: //reports.fb.com/hpkp/

หากนี่คือสิ่งที่คุณต้องใช้ในเว็บไซต์ของคุณให้ไปที่ คู่มือการนำไปใช้งานเขียนโดย Scott Helme.

นโยบายความปลอดภัยของเนื้อหา

ป้องกัน XSS, clickjacking, การฉีดรหัส โจมตีโดยใช้ส่วนหัวของนโยบายความปลอดภัยเนื้อหา (CSP) ในการตอบสนอง HTTP หน้าเว็บของคุณ. ซีเอสพี สั่งให้เบราว์เซอร์โหลดเนื้อหาที่อนุญาตให้โหลดบนเว็บไซต์.

ทั้งหมด เบราว์เซอร์ไม่สนับสนุน CSP, ดังนั้นคุณต้องยืนยันก่อนนำไปใช้ คุณสามารถบรรลุส่วนหัว CSP ได้สามวิธี.

  1. นโยบายความปลอดภัยของเนื้อหา – ระดับ 2 / 1.0
  2. X-Content-Security-Policy – เลิกใช้แล้ว
  3. X-Webkit-CSP – เลิกใช้แล้ว

หากคุณยังคงใช้งานไม่รองรับคุณอาจลองอัปเกรดเป็นรุ่นล่าสุด.

มีหลายพารามิเตอร์ที่สามารถใช้ CSP ได้และคุณสามารถอ้างอิงได้ OWASP สำหรับความคิด อย่างไรก็ตามขอผ่านพารามิเตอร์ที่ใช้มากที่สุดทั้งสอง.

ค่าพารามิเตอร์ความหมาย
เริ่มต้น srcโหลดทุกอย่างจากแหล่งที่กำหนด
สคริปต์ srcโหลดสคริปต์เท่านั้นจากแหล่งที่กำหนด

ตัวอย่างของการโหลดทุกอย่างจากแหล่งกำเนิดเดียวกันในเว็บเซิร์ฟเวอร์ต่างๆ.

อาปาเช่

รับการเพิ่มต่อไปนี้ในไฟล์ httpd.conf และรีสตาร์ทเว็บเซิร์ฟเวอร์เพื่อให้มีประสิทธิภาพ.

ส่วนหัวตั้งเนื้อหา – ความปลอดภัย – นโยบาย "default-src ‘ตัวเอง’;"

Nginx

เพิ่มสิ่งต่อไปนี้ในบล็อกเซิร์ฟเวอร์ในไฟล์ nginx.conf

add_header เนื้อหา – ความปลอดภัย – นโยบาย "default-src ‘ตัวเอง’;";

Microsoft IIS

ไปที่ HTTP Response Headers สำหรับเว็บไซต์ที่เกี่ยวข้องใน IIS Manager และเพิ่มรายการต่อไปนี้

IIS-CSP

X-Permitted-ข้ามโดเมน-นโยบาย

ใช้ผลิตภัณฑ์ Adobe เช่น PDF, Flash เป็นต้น คุณสามารถใช้ส่วนหัวนี้เพื่อสั่งให้เบราว์เซอร์ทราบวิธีจัดการกับคำร้องขอข้ามโดเมน ด้วยการใช้ส่วนหัวนี้คุณจะ จำกัด การโหลดเนื้อหาไซต์ของคุณจากโดเมนอื่น ๆ เพื่อหลีกเลี่ยงการใช้ทรัพยากรในทางที่ผิด.

มีตัวเลือกน้อยใช้ได้.

ราคาลักษณะ
ไม่มีไม่อนุญาตให้ใช้นโยบาย
ต้นแบบเท่านั้นอนุญาตให้ใช้นโยบายหลักเท่านั้น
ทั้งหมดอนุญาตทุกอย่าง
โดยเนื้อหาเท่านั้นอนุญาตเฉพาะเนื้อหาบางประเภทเท่านั้น ตัวอย่าง – XML
โดย FTP เท่านั้นใช้ได้เฉพาะกับเซิร์ฟเวอร์ FTP

อาปาเช่

หากคุณไม่ต้องการอนุญาตนโยบายใด ๆ.

ส่วนหัวตั้งค่า X-Permitted-Cross-Domain-Policies "ไม่มี"

คุณควรเห็นส่วนหัวดังต่อไปนี้.

Nginx

และสมมติว่าคุณต้องใช้หลักอย่างเดียวแล้วเพิ่มสิ่งต่อไปนี้ใน nginx.conf ภายใต้เซิร์ฟเวอร์บล็อก.

add_header X- อนุญาตข้ามโดเมนหลักนโยบายเท่านั้น

และผลที่ได้.

อ้างอิงนโยบาย

ต้องการควบคุมนโยบายผู้อ้างอิงของไซต์ของคุณหรือไม่ มีสิทธิส่วนบุคคลและความปลอดภัยบางอย่าง อย่างไรก็ตามเบราว์เซอร์ทั้งหมดไม่สนับสนุนตัวเลือกทั้งหมดดังนั้นโปรดตรวจสอบข้อกำหนดของคุณก่อนการใช้งาน.

นโยบายผู้อ้างอิงสนับสนุนไวยากรณ์ต่อไปนี้.

ราคาลักษณะ
ไม่มีอ้างอิงข้อมูลผู้อ้างอิงจะไม่ถูกส่งไปพร้อมกับคำขอ.
ไม่มีอ้างอิงเมื่อ-ปรับลดการตั้งค่าเริ่มต้นที่ผู้อ้างอิงถูกส่งไปยังโปรโตคอลเดียวกันกับ HTTP เป็น HTTP, HTTPS ถึง HTTPS.
ที่ไม่ปลอดภัย-URLURL แบบเต็มจะถูกส่งไปพร้อมกับคำขอ.
ต้นกำเนิดเดียวกันผู้อ้างอิงจะถูกส่งสำหรับไซต์ต้นทางเดียวกันเท่านั้น.
เข้มงวดแหล่งกำเนิดส่งเฉพาะเมื่อโปรโตคอลเป็น HTTPS
เข้มงวดกำเนิดเมื่อข้ามกำเนิดURL แบบเต็มจะถูกส่งผ่านโปรโตคอลที่เข้มงวดเช่น HTTPS
ที่มาส่ง URL ต้นทางในคำขอทั้งหมด
กำเนิดเมื่อข้ามกำเนิดส่ง URL แบบเต็มในแหล่งกำเนิดเดียวกัน อย่างไรก็ตามส่งเฉพาะ URL ต้นทางในกรณีอื่น.

อาปาเช่

คุณสามารถเพิ่มรายการต่อไปนี้หากคุณต้องการตั้งค่าผู้อ้างอิง.

ส่วนหัวตั้งนโยบายผู้อ้างอิง "ไม่มีอ้างอิง"

และหลังจากรีสตาร์ทคุณควรมีส่วนหัวการตอบสนอง.

Nginx

สมมติว่าคุณต้องใช้แหล่งกำเนิดเดียวกันดังนั้นคุณต้องเพิ่มสิ่งต่อไปนี้.

add_header ผู้อ้างอิงนโยบายเดียวกันที่มา;

เมื่อกำหนดค่าแล้วคุณควรมีผลลัพธ์ด้านล่าง.

คาดว่า-CT

ส่วนหัวใหม่ที่ยังอยู่ในสถานะทดลองใช้คือสั่งให้เบราว์เซอร์ตรวจสอบการเชื่อมต่อกับเว็บเซิร์ฟเวอร์เพื่อขอความโปร่งใสของใบรับรอง (CT) โครงการนี้โดย Google มีจุดมุ่งหมายเพื่อแก้ไขข้อบกพร่องบางอย่างในระบบใบรับรอง SSL / TLS.

ตัวแปรสามตัวต่อไปนี้พร้อมใช้งานสำหรับส่วนหัวของ Expect-CT.

ราคาลักษณะ
max-ageในไม่กี่วินาทีสำหรับเบราว์เซอร์ที่ควรแคชนโยบาย.
บังคับใช้คำสั่งเพิ่มเติมเพื่อบังคับใช้นโยบาย.
รายงาน URIเบราว์เซอร์เพื่อส่งรายงานไปยัง URL ที่ระบุเมื่อไม่ได้รับความโปร่งใสของใบรับรองที่ถูกต้อง.

อาปาเช่

สมมติว่าคุณต้องการบังคับใช้นโยบายรายงานและแคชเป็นเวลา 12 ชั่วโมงจากนั้นคุณต้องเพิ่มสิ่งต่อไปนี้.

ชุดส่วนหัวของ Expect-CT ‘บังคับใช้, max-age = 43200, report-uri ="https://somedomain.com/report"’

และนี่คือผลลัพธ์.

Nginx

จะทำอย่างไรถ้าคุณต้องการรายงานและแคชเป็นเวลา 1 ชั่วโมง?

add_header Expect-CT ‘max-age = 60, report-uri ="https://mydomain.com/report"’;

ผลลัพธ์จะเป็น.

คุณลักษณะนโยบาย

ควบคุมคุณสมบัติของเบราว์เซอร์เช่นตำแหน่งทางภูมิศาสตร์, เต็มหน้าจอ, ลำโพง, USB, เล่นอัตโนมัติ, ลำโพง, สั่นสะเทือน, ไมโครโฟน, การชำระเงิน, vr ฯลฯ เพื่อเปิดหรือปิดการใช้งานภายในเว็บแอปพลิเคชัน.

อาปาเช่

สมมติว่าคุณต้องปิดการใช้งานคุณสมบัติเต็มหน้าจอและคุณสามารถเพิ่มสิ่งต่อไปนี้ใน httpd.conf หรือ apache2.conf.

ส่วนหัวตั้งคุณสมบัตินโยบายเสมอ "เต็มหน้าจอ ‘ไม่มี’ "

วิธีการเกี่ยวกับการเพิ่มคุณสมบัติหลายอย่างในบรรทัดเดียว?

เป็นไปได้เช่นกัน!

ส่วนหัวตั้งคุณสมบัตินโยบายเสมอ "เต็มหน้าจอ ‘ไม่มี’; ไมโครโฟน ‘ไม่มี’"

รีสตาร์ท Apache HTTP เพื่อดูผลลัพธ์.

รหัสด้านบนจะแนะนำให้เบราว์เซอร์ปิดการใช้งานเต็มหน้าจอและไมโครโฟน.

Nginx

ลองอีกตัวอย่าง – ปิดใช้งานคุณสมบัติสั่น.

นโยบายคุณสมบัติของ add_header "สั่น ‘ไม่มี’;";

หรือปิดใช้งานการระบุตำแหน่งทางภูมิศาสตร์กล้องและลำโพง.

นโยบายคุณสมบัติของ add_header "ตำแหน่งทางภูมิศาสตร์ ‘ไม่มี’; กล้อง ‘ไม่มี’; ผู้พูด ‘none’;";

นี่คือผลลัพธ์หลังจากรีสตาร์ท Nginx.

การกำหนดค่า Nginx ทั้งหมดอยู่ภายใต้ http block ใน nginx.conf หรือไฟล์ที่กำหนดเองที่คุณใช้.

ข้อสรุป

การรักษาความปลอดภัยเว็บไซต์เป็นสิ่งที่ท้าทายและฉันหวังว่าด้วยการใช้ส่วนหัวด้านบนคุณจะเพิ่มระดับความปลอดภัย หากคุณใช้เว็บไซต์ธุรกิจคุณอาจพิจารณาใช้ cloud-WAF เช่น Sucuri เพื่อปกป้องธุรกิจออนไลน์ของคุณ สิ่งที่ดีเกี่ยวกับ SUCURI คือมันมีความปลอดภัยและประสิทธิภาพทั้งคู่.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map