伺服器架設, 網站架設

HTTP headers設置,讓網站更安全避免淪為挖礦機

梅干2018/04/17
梅問題-HTTP headers設置,讓網站更安全避免淪為挖礦機
  最近一位工程師好友,突然丟一個檢測平台的分數,起初梅干以為是SSL檢測,就進入測試一下,卻發現到,怎分數相當的低,最後研究了一下,原來網站不是有加入SSL憑證就代表安全無誤,就在今年KeyCDN在官方部落格,發表了一篇關於站點HTTP headers配置,分別為X-XSS-Protection、X-Frame-Options、X-Content-Type-Options Content-Security-Policy、Strict-Transport-Security、Public-Key-Pins這六項進行安全的設定,讓網站更加的安全,不會淪為挖礦主機。
  而要修正這個HTTP headers的配置,一點也不難,只需將設定參數加入.htaccess文件後,立即就可讓網站更加的安全,並且也可遠離挖礦惡意程式入侵主機,因此身為網站管理員,這個絕不容輕乎,因此也趕快來檢測看看,你的網站是否安全,以及要如何將網站進行修正。
HTTP headers檢測網站
網站名稱:securityheaders.io
網站連結:https://securityheaders.io

Step1
首先,開啟.htaccess檔案後,並加入下方的參數設定。
# HTTP security settings start

Header set Strict-Transport-Security: max-age=2592000;
Header set X-Frame-Options: SAMEORIGIN
Header set Referrer-Policy: no-referrer
Header set X-XSS-Protection: "1; mode=block"
Header set X-Content-Type-Options: nosniff

# HTTP security settings end

Step2
修改完畢後,再將檔案儲存並上傳。
梅問題-HTTP headers設置,讓網站更安全避免淪為挖礦機
Step3
再上傳完畢後,再進入securityheaders.io的網站,並輸入網址進行檢測。
梅問題-HTTP headers設置,讓網站更安全避免淪為挖礦機
Step4
當設定完畢後,這時檢測後就會從原來的F變成A啦!至於Content-Security-Policy則不建議設定,一旦設定後,將會阻擋Google API與流量的統計,現在也趕快來檢測一下,自己的網站看看。
梅問題-HTTP headers設置,讓網站更安全避免淪為挖礦機