- Włączenie modułu apache2 http2
- Zmiany w virtual hosts
- Zmiany w PHP
Kategoria: HTTP
HTTP – Authentication
Rodzaje: Basic, Digest, Bearer (OAuth 2.0), HOBA (HTTP Origin-Bound Authentication), Mutual, AWS4-HMAC-SHA256
iCalendar
Standard kodowania plików kalendarzy ogólnie dostępnych i dynamicznie aktualizowanych w Internecie
X-Frame-Options
Informuje przeglądarkę, że żadna strona z tym nagłówkiem nie może być osadzona w iframe.
X-Frame-Options: DENY
<header> <frame-options policy="SAMEORIGIN" /> </header>
X-XSS-Protection
Co ma zrobić przeglądarka gdy rozpozna atak XSS. Niektóre przeglądarki mają wbudowane filtrowanie XSS reflected.
X-XSS-Protection: 1; mode=block
<header> <xss-protection block="false"/> </header>
HTTP security headers
Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=31536000 ; includeSubDomains X-Frame-Options: DENY X-XSS-Protection: 1; mode=block
HTTP Content Security Policy
Nagłówek odpowiedzi. Serwer informuje przeglądarkę które skrypty z jego domeny mogą być dołączone
Content-Security-Policy: <policy-directive>; <policy-directive<
// header Content-Security-Policy: default-src https: Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none' // meta tag <meta http-equiv="Content-Security-Policy" content="default-src https:">
Dyrektywy:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy