osx 服务器在 apache2 中配置安全标头

Question

只是为了帮助某人使 OSX Server apache2 中的网络服务器更加安全。 它假定您已准备好 HTTPS 证书并在托管域中处于活动状态。

您可以在文件夹中编辑 OSX 服务器使用的 apache2 配置文件：

/library/server/web/config/apache2

打开终端，通过命令sudo su和你的密码以超级用户身份登录。

输入cd /library/server/web/config/apache2/

输入 pico httpd_server_app.conf 在 pico-editor 中打开配置文件。

搜索以

开头的行

<IfModule mod_headers.c>
    Header add MS-Author-Via "DAV"
    RequestHeader set X_FORWARDED_PROTO 'https' env=https
    RequestHeader set X_FORWARDED_PROTO 'http' env=!https
</IfModule>

将这些更改为：

<IfModule mod_headers.c>
    Header add MS-Author-Via "DAV"
    RequestHeader set X_FORWARDED_PROTO 'https' env=https
    RequestHeader set X_FORWARDED_PROTO 'http' env=!https
Header set X-FRAME-OPTIONS "DENY"
Header set X-Content-Type-Options "nosniff"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "same-origin"
</IfModule>

并在配置文件中向下滚动到以下行：

ServerSignature On

将该行更改为

ServerSignature Off

现在，在您的网站空间上加载不存在页面的浏览器将不会显示最后一行“Apache version..../etc”

现在托管在您的 OSX 服务器上的网站更加安全。尝试使用网络上的工具对其进行测试。

Answer 1

为了更安全，您还可以为Referrer-Policy 和Feature-Policy 添加Header Referrer-Policy 和Feature-Policy 和Content-Security-Policy（最后一个非常重要，您需要为您的网站自定义它）添加这些行到您的<IfModule mod_headers.c> 块：

Header always set Referrer-Policy "no-referrer"
Header always set Feature-Policy "accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'"

另外，您可以使用securityheaders 和mozilla 测试您的安全标头

ps：best practices for other web servers available on here