Nagłówki bezpieczeństwa — kompletny zestaw
Bezpieczne nagłówki HTTP chronią przed atakami po stronie przeglądarki. Ocena A+ na securityheaders.com oznacza doskonałą konfigurację.
Kompletna konfiguracja .htaccess
<IfModule mod_headers.c>
# Ochrona przed Clickjacking
Header always set X-Frame-Options "SAMEORIGIN"
# Ochrona przed MIME Sniffing
Header always set X-Content-Type-Options "nosniff"
# XSS Protection (legacy)
Header always set X-XSS-Protection "1; mode=block"
# HSTS - wymaga ważnego SSL!
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# Referrer Policy
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# Permissions Policy
Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()"
# Usuń nagłówki zdradzające wersję serwera
Header unset X-Powered-By
Header always unset Server
</IfModule>Weryfikacja konfiguracji
- Wejdź na securityheaders.com
- Wpisz adres strony
- Celuj w ocenę A lub A+
