HTTP headers設置，讓網站更安全避免淪為挖礦機

最近一位工程師好友，突然丟一個檢測平台的分數，起初梅干以為是SSL檢測，就進入測試一下，卻發現到，怎分數相當的低，最後研究了一下，原來網站不是有加入SSL憑證就代表安全無誤，就在今年的六月KeyCDN在官方部落格，發表了一篇關於站點HTTP headers配置，分別為X-XSS-Protection、X-Frame-Options、X-Content-Type-Options Content-Security-Policy、Strict-Transport-Security、Public-Key-Pins這六項進行安全的設定，讓網站更加的安全，不會淪為挖礦主機。

HTTP headers檢測網站

網站名稱：securityheaders.io
網站連結：https://securityheaders.io

開啟.htaccess檔案後，並加入下方的參數設定。

# HTTP security settings start

Header set Strict-Transport-Security: max-age=2592000;
Header set X-Frame-Options: SAMEORIGIN
Header set Referrer-Policy: no-referrer
Header set X-XSS-Protection: "1; mode=block"
Header set X-Content-Type-Options: nosniff

# HTTP security settings end

至於Content-Security-Policy則不建議設定，一旦設定後，將會阻擋Google API與流量的統計，現在也趕快來檢測一下，自己的網站看看。


原始介紹文章出自於此