https://meet.bnext.com.tw/articles/view/42595?utm_campaign=5741400&utm_source=SendPulse&utm_medium=push

HTTP headers設置，讓網站更安全避免淪為挖礦機

梅干2018/04/17

最近一位工程師好友，突然丟一個檢測平台的分數，起初梅干以為是SSL檢測，就進入測試一下，卻發現到，怎分數相當的低，最後研究了一下，原來網站不是有加入SSL憑證就代表安全無誤，就在今年的六月KeyCDN在官方部落格，發表了一篇關於站點HTTP headers配置，分別為X-XSS-Protection、X-Frame-Options、X-Content-Type-Options Content-Security-Policy、Strict-Transport-Security、Public-Key-Pins這六項進行安全的設定，讓網站更加的安全，不會淪為挖礦主機。

而要修正這個HTTP headers的配置，一點也不難，只需將設定參數加入.htaccess文件後，立即就可讓網站更加的安全，並且也可遠離挖礦惡意程式入侵主機，因此身為網站管理員，這個絕不容輕乎，因此也趕快來檢測看看，你的網站是否安全，以及要如何將網站進行修正。

---

HTTP headers檢測網站

網站名稱：securityheaders.io 
網站連結：https://securityheaders.io

---

Step1
首先，開啟.htaccess檔案後，並加入下方的參數設定。

# HTTP security settings start

Header set Strict-Transport-Security: max-age=2592000;
Header set X-Frame-Options: SAMEORIGIN
Header set Referrer-Policy: no-referrer
Header set X-XSS-Protection: "1; mode=block"
Header set X-Content-Type-Options: nosniff

# HTTP security settings end

---

Step2
修改完畢後，再將檔案儲存並上傳。

---

Step3
再上傳完畢後，再進入securityheaders.io的網站，並輸入網址進行檢測。

---

Step4
當設定完畢後，這時檢測後就會從原來的F變成A啦！至於Content-Security-Policy則不建議設定，一旦設定後，將會阻擋Google API與流量的統計，現在也趕快來檢測一下，自己的網站看看。