服務器安全：Apache和Nginx的header配置

一、Apache

    Header always append X-Frame-Options SAMEORIGIN
    Header  always  append  Set-Cookie HttpOnly
    Header  always  append  Set-Cookie Secure

二、Nginx

server
{
    add_header X-Frame-Options SAMEORIGIN;
    add_header Set-Cookie HttpOnly;
    add_header Set-Cookie Secure;
 ｝

效果圖

HttpOnly屬性——防止程序獲取cookie后進行攻擊

• 如果Cookie中設置了HttpOnlhy屬性，那么通過程序（JS腳本、Applet等）將無法讀取到Cookie信息，能有效的防止XSS攻擊。

Secure——防止信息傳輸過程中的泄露

• true —— 只能在HTTPS連接中傳輸，HTTP連接不會傳輸，所以不會被竊取到Cookie的具體內容

• false —— HTTP、HTTPS連接都可以傳輸

Cookie的HttpOnly、secure、domain屬性 - AmyZYX - 博客園  https://www.cnblogs.com/amyzhu/p/9678489.html

Apache設置 header 指令詳解

描述： 配置HTTP響應頭

句法： Header [condition] set|append|add|unset|echo header [value] [env=[!]variable]

該指令可以替換，合并或刪除HTTP響應頭。在內容處理程序和輸出過濾器運行之后，頭文件被修改，允許修改傳出頭文件。

可選條件可以是 onsuccess 或者 always。它確定應該操作哪個內部頭表。onsuccess代表 2xx狀態碼而 always 代表所有狀態碼（包括2xx）。特別是如果你想取消設置某些模塊的頭文件，你應該試試，哪個表會受到影響。

它執行的動作由第二個參數決定。這可以是以下值之一：

set

響應標題被設置，用這個名字替換任何以前的標題。該值可以是格式字符串。

append

響應頭被追加到任何現有的相同名稱的頭。當一個新的值被合并到一個已經存在的頭上時，它將與逗號分開。這是給標題多個值的HTTP標準方式。

add

響應標題被添加到現有的標題集，即使這個標題已經存在。這可能會導致兩個（或更多）標題具有相同的名稱。這可能會導致不可預見的后果，應該使用“附加”來代替。

unset

如果該名稱存在，則會刪除該名稱的響應標題。如果有多個相同名稱的標題，則全部將被刪除。

echo

帶有這個名字的請求頭在回應頭中回顯。標題可能是一個正則表達式。

該參數后面跟著一個 header 名稱，可以包含最后的冒號，但不是必需的。對于 set，append，add 和unset，大小寫是忽視的，但 echo 的 header 名稱是大小寫敏感的，并且可以是正則表達式

賞