Ngồi fix mấy vấn đề bảo mật cho website cá nhân, thấy cái vụ Security Headers mình chưa làm, nên mình làm luôn.
Ban đầu check chỉ là điểm D mà thôi, site check là: https://securityheaders.com
Cách làm là: ĐƠN GIẢN
Copy những dòng bên dưới vào file .htaccess của website muốn gia cố bảo mật Security Headers trên dưới phải trái chỗ nào cũng được
#BEGIN Custom Security Headers
# // This will be a security header..
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy: ""
#END Custom Security HeadersThế là xong rồi, mình đang mò tiếp xem còn cái nào cần xử lý nữa không 😄
CHÚ Ý CẨN THẬN
Có một cảnh báo, nếu như bạn xài wild-card SSL, tức là mọi subdomain của bạn đều hoạt động qua HTTPS thì mới sử dụng dòng này:
Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” env=HTTPSCòn bạn không đảm bảo được điều đó, hãy cẩn thận nha, chỉ sử dụng:
Header always set Strict-Transport-Security “max-age=31536000; preload” env=HTTPS
