一、Apache
Header always append X-Frame-Options SAMEORIGIN Header always append Set-Cookie HttpOnly Header always append Set-Cookie Secure
二、Nginx
server
{
add_header X-Frame-Options SAMEORIGIN;
add_header Set-Cookie HttpOnly;
add_header Set-Cookie Secure;
}效果图
HttpOnly属性——防止程序获取cookie后进行攻击
如果Cookie中设置了HttpOnlhy属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,能有效的防止XSS攻击。
Secure——防止信息传输过程中的泄露
true —— 只能在HTTPS连接中传输,HTTP连接不会传输,所以不会被窃取到Cookie的具体内容
false —— HTTP、HTTPS连接都可以传输
Cookie的HttpOnly、secure、domain属性 - AmyZYX - 博客园 https://www.cnblogs.com/amyzhu/p/9678489.html
Apache设置 header 指令详解
描述: 配置HTTP响应头
句法: Header [condition] set|append|add|unset|echo header [value] [env=[!]variable]
该指令可以替换,合并或删除HTTP响应头。在内容处理程序和输出过滤器运行之后,头文件被修改,允许修改传出头文件。
可选条件可以是 onsuccess 或者 always。它确定应该操作哪个内部头表。onsuccess代表 2xx状态码而 always 代表所有状态码(包括2xx)。特别是如果你想取消设置某些模块的头文件,你应该试试,哪个表会受到影响。
它执行的动作由第二个参数决定。这可以是以下值之一:
set
响应标题被设置,用这个名字替换任何以前的标题。该值可以是格式字符串。
append
响应头被追加到任何现有的相同名称的头。当一个新的值被合并到一个已经存在的头上时,它将与逗号分开。这是给标题多个值的HTTP标准方式。
add
响应标题被添加到现有的标题集,即使这个标题已经存在。这可能会导致两个(或更多)标题具有相同的名称。这可能会导致不可预见的后果,应该使用“附加”来代替。
unset
如果该名称存在,则会删除该名称的响应标题。如果有多个相同名称的标题,则全部将被删除。
echo
带有这个名字的请求头在回应头中回显。标题可能是一个正则表达式。
该参数后面跟着一个 header 名称,可以包含最后的冒号,但不是必需的。对于 set,append,add 和unset,大小写是忽视的,但 echo 的 header 名称是大小写敏感的,并且可以是正则表达式
非书面授权,禁止转载。本作品采用 CC BY-NC-ND/2.5/CN 许可协议。
如果帮您解决了问题,可以给小编打赏,小编不抽烟不喝酒,6元就够吃个泡面了,感激不尽。
