Header Security | 1412 https://xvlnw.com I'm on my way Sat, 12 Sep 2020 10:44:09 +0000 th hourly 1 https://wordpress.org/?v=5.5.14 Security Header ของมันต้องมี https://xvlnw.com/topic/642 Sat, 12 Sep 2020 10:44:08 +0000 https://xvlnw.com/?p=642 Header ที่ควรจะมีใน Nginx config เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของเรา เอาไปไว้ในส่วนของ server { … } นะครับ แล้วถ้าไม่ได้ใช้ Nginx หละ ทำยังไง? เราสามารถใช้ .htaccess rewrite rule ใน Apache ได้ครับ สามารถใช้ได้กับทุกเว็บ ทุก CMS เช่น WordPress เป็นต้น ทดสอบ HTTP Header Validation ได้ที่ลิ…

The post Security Header ของมันต้องมี first appeared on 1412.]]> Header ที่ควรจะมีใน Nginx config เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ของเรา เอาไปไว้ในส่วนของ server { … } นะครับ

# Security headers
add_header X-Frame-Options           "SAMEORIGIN" always;
add_header X-XSS-Protection          "1; mode=block" always;
add_header X-Content-Type-Options    "nosniff" always;
add_header Referrer-Policy           "no-referrer-when-downgrade" always;
add_header Content-Security-Policy   "default-src 'self' http: https: data: blob: 'unsafe-inline' 'unsafe-eval'" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

แล้วถ้าไม่ได้ใช้ Nginx หละ ทำยังไง? เราสามารถใช้ .htaccess rewrite rule ใน Apache ได้ครับ 

# Security headers
Header add X-Frame-Options           "SAMEORIGIN" always;
Header add X-XSS-Protection          "1; mode=block" always;
Header add X-Content-Type-Options    "nosniff" always;
Header add Referrer-Policy           "no-referrer-when-downgrade" always;
Header add Content-Security-Policy   "default-src 'self' http: https: data: blob: 'unsafe-inline' 'unsafe-eval'" always;
Header add Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

สามารถใช้ได้กับทุกเว็บ ทุก CMS เช่น WordPress เป็นต้น ทดสอบ HTTP Header Validation ได้ที่ลิงก์ https://securityheaders.com

สำหรับความหมายของแต่ละค่า ลองเอาไปค้นหาเพิ่มเติมกันดูนะครับ

The post Security Header ของมันต้องมี first appeared on 1412.]]>