Настройка заголовков безопасности сайта через CloudFlare
Нужно было прописать headers заголовки безопасности на сайт, но почему-то правки через htaccess, через PHP не сработало. Пришлось делать это через настройки правил страниц cloudflare. На самом деле всё просто, дольше гуглил и вникал в то, как это проще реализовать.
В общем по пунктам:
- Rules -> Page rules -> Modify Response Header (справа в меню в самом низу почти)
- Create rule -> Response Header Transform Rules
- Rule name — любое, например, Security Headers DLE
- All incoming requests
- Ниже в выпадающем списке — Set static и заполняем правила заголовков:
1. Set static Header name: X-Content-Type-Options Value: nosniff 2. Set static Header name: Referrer-Policy Value: strict-origin-when-cross-origin 3. Set static Header name: Content-Security-Policy Value: default-src 'self'; script-src... 4. Set static Header name: Permissions-Policy Value: geolocation=(), microphone=()... 5. Set static Header name: Strict-Transport-Security Value: max-age=31536000; includeSubDomains; preload 6. Set static Header name: X-Frame-Options Value: DENY 7. Set static Header name: X-XSS-Protection Value: 1; mode=block - Теперь на securityheaders.com — у вас должен быть A+ рейтинг, как на первом скрине!
Скрин прописанных правил в CF:
⚠️ Войдите в аккаунт для доступа к контенту
Похожие статьи:
Комментарии: