Existuje několik důvodů, proč byste mohli chtít přidat vlastní záhlaví na svůj web, ale nejběžnějším důvodem je dnes přidání bezpečnostních záhlaví Apache nebo nginx. Mnoho z těchto hlaviček nelze globálně předem použít, protože by přímo ovlivnily funkčnost některých webů, které závisí na funkčnosti, kterou by tato hlavička omezovala, a proto je jejich použití pro jednotlivé weby nejlepším a jediným způsobem, jak je přidat.
Zde je několik dalších důvodů, proč byste mohli chtít přidat vlastní záhlaví:
- Průvodce webovou aplikací vám řekl, abyste do konfigurace webového serveru změnili nebo přidali záhlaví HTTP/HTTPS
- Chcete přidat jeden z následujících typů záhlaví:Vary, CORS, Cache-Control, X-Frame-Options atd
TIP :podpůrné dokumenty Plesk o přidávání záhlaví CORS uvádějí, že je třeba tato záhlaví přidat do polí, která v Plesku nevidíte, protože k úpravám polí „Další směrnice“ mají přístup pouze správci. Následující kroky tento problém vyřeší.
Naštěstí má Plesk funkci, která to usnadňuje! Zde je návod, jak to udělat:
- Začněte přihlášením do Plesk
- Najděte svou doménu v seznamu a kliknutím na ni upravte její konfiguraci, nebo se zaměřte na mřížku možností konfigurace tlačítka. Pokud jsou vaše možnosti na kartě, klikněte na kartu „Hosting &DNS“
- Vyberte tlačítko s názvem „Nastavení Apache &nginx“
- V části Běžná nastavení Apache najdete Další záhlaví . Vyberte „Zadat vlastní hodnotu“ a zde zadejte svá záhlaví. Všimněte si, že i když název této části obsahuje „Apache“, většina (pokud ne všechny) položky zde budou platit pro nginx, pokud není zakázán. Příklad formátu/syntaxe, který se má použít, je uveden pod textovým polem.
- Formát, který se zde použije, je
Header: Value - Až budete hotovi, přejděte dolů a klikněte na OK.
Běžné bezpečnostní hlavičky k použití
Níže je uvedena skvělá sada bezpečnostních hlaviček, které lze použít na váš web, i když důrazně doporučujeme vyhledat, jak nastavit zásady zabezpečení obsahu, protože správná hodnota bude silně záviset na obsahu vašeho webu.
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
Tato záhlaví zabraňují jiným webům, aby s vaším webem prováděly škodlivé věci. Například X-Frame-Options určuje, že pouze weby/aplikace běžící na vaší vlastní doméně mohou umístit váš web do rámce/iframe.
Upozornění: Pokud používáte WordPress a pravidelně přidáváte nové funkce, možná nebudete chtít používat zásady zabezpečení obsahu. Cílem tohoto záhlaví je zajistit, aby pouze zdroje uvedené v seznamu mohly poskytovat soubory pro váš web . Pokud nastavíte toto záhlaví a poté na web přidáte funkci, která závisí na zdroji (obrázek, javascript, šablona stylů), který není zahrnut v tomto seznamu, funkce pravděpodobně nebude fungovat, dokud ji nepřidáte. To znamená, že můžete použít našeho průvodce používáním webového inspektora prohlížeče a jeho karty konzoly, která vám pomůže diagnostikovat takové problémy a aktualizovat hlavičku CSP, protože tam budou hlášeny chyby, které se toho týkají.