Реализация политики безопасности контента с использованием локального файла htaccess (Apache)

Я новичок в веб-разработке и хочу реализовать Политику безопасности контента только на определенной веб-странице.

Это то, что я сделал до сих пор:
1. Установите заголовок следующим образом:

Header set Content-Security-Policy "default-src 'self';
script-src 'self';
"
  1. Получил 500 внутренняя ошибка сервера после этой настройки. Где-то читал, что mod_headers должен быть включен. Так что включил его с помощью:
sudo a2enmod headers
sudo service apache2 restart
  1. .htaccess теперь выглядит так:
<IfModule mod_headers.c>Header set Content-Security-Policy "
default-src 'self';

script-src 'self';

"</IfModule>

Прямо сейчас проблема в том, что я не получаю никакой ошибки сейчас, но заголовок все еще не установлен. Пожалуйста, сообщите мне, если я что-то упустил.
Я уже прошел через другие темы и прошел весь этот путь, используя:
Как реализовать политику безопасности контента?
и некоторые другие вопросы тоже.
P.S. Я использую Apache и PHP на Ubuntu 14.04.

0

Решение

Хорошо, ребята, это было решено добавлением той же строки, т.е.

Набор заголовков Content-Security-Policy «default-src ‘self’; script-src
«Я»;»

но в файле /etc/apache2/apache2.conf и это сработало. Получил помощь от этого: Использование функции безопасности контента scipt-src sha с сервером Apache HTTP

1

Другие решения

Вы пытались установить заголовок без разрывов строки? Я не уверен, как apache будет добавлять заголовки, но я всегда думал (и, пожалуйста, исправьте меня, если я ошибаюсь), они анализируются на основе разрывов строк.

Поэтому попробуйте следующее:

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; script-src 'self';"</IfModule>

Также вы можете установить заголовок через PHP это сделало бы ваш Content-Security-Policy независим от веб-сервера.

0

По вопросам рекламы [email protected]