Мои HTTP security headers для wordpress ⁄ sinchro

sinchro

Мои HTTP security headers для wordpress

Я использую следующие хедеры:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Content-Type-Options: “nosniff” always
X-Frame-Options: SAMEORIGIN
Referrer-Policy: no-referrer-when-downgrade
X-XSS-Protection: 1; mode=block
Content-Security-Policy: “upgrade-insecure-requests;connect-src *”
Permissions-Policy: accelerometer=Origin(), autoplay=(), camera=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), publickey-credentials-get=(), usb=()
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods GET, POST, OPTIONS, DELETE

P.S. Хорошая статья – https://codeby.net/threads/csp-dlya-nachinayushchikh-kak-pravil-no-nastroit-content-security-policy-dlya-zashchity-ot-xss.83923/

Сайт для проверки хедеров – https://securityheaders.com/

Много информации по заголовкам безопасности Content-Security-Policy и Feature-Policy, примеры, фильтры и т.п. – https://csplite.com/ru/

Пара линков по настройкам хедеров от самого lsws: https://docs.openlitespeed.org/security/headers/ и https://docs.openlitespeed.org/config/headers/

Теги: Content-Security-Policy, security, security headers, website, wordpress

(Отменить ответ)