تنظیم هدرهای امنیتی HTTP

هدرهای امنیتی HTTP، مجموعه‌ای از تنظیمات در پاسخ‌های HTTP هستند که برای افزایش امنیت وب‌سایت‌ها مورد استفاده قرار می‌گیرند، به عنوان مثال، جلوگیری از حملات XSS , CSRF و Clickjacking. این هدرها مرورگر را ملزم به اعمال سیاست‌های امنیتی خاصی مانند Content Security Policy (CSP) و Strict-Transport-Security (HSTS) می‌کنند.

شما می‌توانید هدرهای امنیتی را مانند قطعه کد مثال زیر، در فایل public/.htaccess تنظیم کرده و نحوه‌ی برقراری ارتباط با سایت را، برای مرورگرها، تعیین کنید:

کپی<IfModule mod_rewrite.c>
  <IfModule mod_negotiation.c>
      Options -MultiViews -Indexes
  </IfModule>

  Header always set X-Frame-Options "DENY"
  Header always set X-Content-Type-Options "nosniff"
  Header always set X-XSS-Protection "1; mode=block"
  Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

  RewriteEngine On

  # Handle Authorization Header
  RewriteCond %{HTTP:Authorization} .
  RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

  # Redirect Trailing Slashes If Not A Folder...
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_URI} (.+)/$
  RewriteRule ^ %1 [L,R=301]

  # Send Requests To Front Controller...
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteRule ^ index.php [L]
</IfModule>

بعد از درج قطعه کد فوق کد، کافیست تا برنامه خود را مجدداً در لیارا، مستقر کنید.

توجه داشته باشید که قبل از فعال‌سازی HSTS با تنظیم هدر Strict-Transport-Security باید SSL دامنه خود را فعال کرده باشید.

همچنین بخوانید: تهیه گواهی SSL