Wp-config中的HTTP安全标头

时间:2017-08-02 作者:Jorge

是否有方法将HTTP安全标头放置在wp-config.php 而不是在.htaccessfunctions.php? 如果是,格式是什么?

2 个回复
最合适的回答,由SO网友:cjbj 整理而成

这个.htaccess 文件在交给WordPress生成页面之前,由Apache服务器软件读取。到目前为止,它是拥有安全标头的最佳位置。

也就是说,WordPress确实有class to modify the headers 将其发送到浏览器之前。本课程contains a filter 可以在插件中使用。请注意,如果页面由缓存插件(或某种服务器级缓存形式)提供服务,则可能会绕过此过滤器。

这个wp-config.php 文件的范围相当窄,as you can see in the codex. 定义安全标头的可能性不在其中。

一句话:是的,有一些方法可以在WordPress中设置安全标头,但请确保.htaccess 一切正常。

SO网友:Carl Alberto

这个wp-config.php 文件不是放置标题的好地方,但如果您无权访问.htaccess 或者您在Nginx服务器中,不允许修改配置,您可以将其放在主题的functions.php 或插件:

通过WP\\U headers过滤器修改WP headers

function additional_headers( $headers ) {   if ( ! is_admin() ) {

  $headers[\'Referrer-Policy\']             = \'no-referrer-when-downgrade\';
  $headers[\'X-Content-Type-Options\']      = \'nosniff\';
  $headers[\'X-XSS-Protection\']            = \'1; mode=block\';
  $headers[\'Permissions-Policy\']          = \'geolocation=(self "https://example.com") microphone=() camera=()\';
  $headers[\'Content-Security-Policy\']     = \'script-src "self"\';
  $headers[\'X-Frame-Options\']             = \'SAMEORIGIN\';   }

  return $headers; 
}
  
add_filter( \'wp_headers\', \'additional_securityheaders\' );

结束
标签: security   headers   小码农  

相关推荐

security issue in wordpress?

我已在中安装wordpresswww.mysite.com/user 现在假设有人熟悉wordpress,他/她可以通过www.mysite.com/user/memberswww.mysite.com/user/groups 甚至他都能看到www.mysite.com/user 没有登录到我的网站。有什么方法可以防止这种情况发生吗。类似于如果他没有登录或任何类型的重定向到特定url,访问就会被拒绝。或者你没有权限访问/members/ 在此服务器上。因此,我面临着很多问题。我使用frisco作为budd