Реализация политики безопасности контента с использованием локального файла htaccess (Apache)
Я новичок в веб-разработке и хочу реализовать Политику безопасности контента только на определенной веб-странице.
Это то, что я сделал до сих пор:
1. Установите заголовок следующим образом:
Header set Content-Security-Policy "default-src 'self';
script-src 'self';
"- Получил 500 внутренняя ошибка сервера после этой настройки. Где-то читал, что mod_headers должен быть включен. Так что включил его с помощью:
sudo a2enmod headers sudo service apache2 restart
- .htaccess теперь выглядит так:
<IfModule mod_headers.c>Header set Content-Security-Policy " default-src 'self'; script-src 'self'; "</IfModule>
Прямо сейчас проблема в том, что я не получаю никакой ошибки сейчас, но заголовок все еще не установлен. Пожалуйста, сообщите мне, если я что-то упустил.
Я уже прошел через другие темы и прошел весь этот путь, используя:
Как реализовать политику безопасности контента?
и некоторые другие вопросы тоже.
P.S. Я использую Apache и PHP на Ubuntu 14.04.
Решение
Хорошо, ребята, это было решено добавлением той же строки, т.е.
Набор заголовков Content-Security-Policy «default-src ‘self’; script-src
«Я»;»
но в файле /etc/apache2/apache2.conf и это сработало. Получил помощь от этого: Использование функции безопасности контента scipt-src sha с сервером Apache HTTP
Другие решения
Вы пытались установить заголовок без разрывов строки? Я не уверен, как apache будет добавлять заголовки, но я всегда думал (и, пожалуйста, исправьте меня, если я ошибаюсь), они анализируются на основе разрывов строк.
Поэтому попробуйте следующее:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; script-src 'self';"</IfModule>
Также вы можете установить заголовок через PHP это сделало бы ваш Content-Security-Policy независим от веб-сервера.