【发布时间】:2014-02-14 20:01:52
【问题描述】:
我正在运行一个 apache 网络服务器。我想将“X-Content-Type-Options: nosniff”添加到来自我的 Web 服务器的所有响应标头中。我怎样才能做到这一点?是否可以更改 apache 配置文件来完成此操作?
【问题讨论】:
标签: javascript apache http-headers mime-types httpresponse
【发布时间】:2014-02-14 20:01:52
【问题描述】:
确保加载 mod_headers 后,只需将其附加到您的网络服务器配置:
<Directory "your_web_server_documents_directory">
.......
Header always set X-Content-Type-Options nosniff
.......
</Directory>
【讨论】:
-
“确保 mod_headers 已加载”是指确保 httpd.conf 中没有注释掉“LoadModule headers_module modules/mod_headers.so”。
我做的是这个。我在注释掉属性 modules/mod_headers.so 后立即放置标签并重新启动我的应用服务器,但仍然是相同的响应标头。
LoadModule headers_module modules/mod_headers.so
<Directory mod_headers.c>
Header always set X-Content-Type-Options nosniff
</Directory>
【讨论】:
打开您的 .htaccess 并将其放置以防止 XSS、点击劫持和内容嗅探:
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
参考:https://htaccessbook.com/increase-security-x-security-headers
【讨论】:
如果其他答案对您不起作用,则可能是该路径中不存在 headers 模块。 尝试通过在服务器的命令行中运行以下命令来启用它:
a2enmod headers
然后编辑你的配置文件sudo nano /etc/apache2/apache2.conf找到以<Directory /var/www/>或<Directory /srv>开头的行并在其中添加以下内容:
<IfModule mod_headers.c>
Header always set X-Content-Type-Options nosniff
</IfModule>
记得重启 apache,以使更改生效。
【讨论】: