【已完成】宝塔 litespeed 添加安全 header

litespeed 不识别 .htaccess 里面的 mod_headers.c 模块

1. <IfModule mod_headers.c>
   
2.         Header set Cross-Origin-Embedder-Policy "unsafe-none"
   
3.         Header set Cross-Origin-Opener-Policy "unsafe-none"
   
4.         Header set Cross-Origin-Resource-Policy "cross-origin"
   
5.         Header set Content-Security-Policy "report-to default"
   
6.         Header set Expect-CT "max-age=2592000;enforce=enforce"
   
7.         Header set Feature-Policy "accelerometer 'none';gyroscope 'none';gamepad 'none'"
   
8.         Header set Strict-Transport-Security "max-age=2592000; preload"
   
9.         Header set X-Download-Options "noopen"
   
10.         Header set X-Frame-Options "SAMEORIGIN"
    
11.         Header set X-XSS-Protection "1; mode=block"
    
12. </IfModule>

复制代码

需要手动到站点配置里面添加 以下header

1. context / {
   
2. location      $VH_ROOT/
   
3. allowBrowse     1
   
4. extraHeaders Cross-Origin-Embedder-Policy unsafe-none
   
5. }
   
6. context / {
   
7. location      $VH_ROOT/
   
8. allowBrowse     1
   
9. extraHeaders Cross-Origin-Opener-Policy unsafe-none
   
10. }
    
11. context / {
    
12. location      $VH_ROOT/
    
13. allowBrowse     1
    
14. extraHeaders Cross-Origin-Resource-Policy cross-origin
    
15. }
    
16. context / {
    
17. location      $VH_ROOT/
    
18. allowBrowse     1
    
19. extraHeaders Content-Security-Policy report-to default
    
20. }
    
21. context / {
    
22. location      $VH_ROOT/
    
23. allowBrowse     1
    
24. extraHeaders Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
    
25. }
    
26. context / {
    
27. location      $VH_ROOT/
    
28. allowBrowse     1
    
29. extraHeaders X-Content-Type-Options nosniff
    
30. }
    
31. context / {
    
32. location      $VH_ROOT/
    
33. allowBrowse     1
    
34. extraHeaders X-XSS-Protection 1;mode=block
    
35. }
    
36. context / {
    
37. location      $VH_ROOT/
    
38. allowBrowse     1
    
39. extraHeaders X-Frame-Options SAMEORIGIN
    
40. }
    
41. context / {
    
42. location      $VH_ROOT/
    
43. allowBrowse     1
    
44. extraHeaders X-Download-Options noopen
    
45. }
    
46. context / {
    
47. location      $VH_ROOT/
    
48. allowBrowse     1
    
49. extraHeaders Referrer-Policy strict-origin
    
50. }
    
51. context / {
    
52. location      $VH_ROOT/
    
53. allowBrowse     1
    
54. extraHeaders Expect-CT enforce, max-age=2592000
    
55. }
    
56. context / {
    
57. location      $VH_ROOT/
    
58. allowBrowse     1
    
59. extraHeaders Feature-Policy geolocation 'self';camera 'none';microphone 'none';encrypted-media 'none';payment 'none';usb 'none'
    
60. }
    
61. context / {
    
62. location      $VH_ROOT/
    
63. allowBrowse     1
    
64. extraHeaders Permissions-Policy: "accelerometer=(self),gyroscope=(self), magnetometer=(self)"
    
65. }
    
66. context / {
    
67. location      $VH_ROOT/
    
68. allowBrowse     1
    
69. extraHeaders X-Permitted-Cross-Domain-Policies master-only
    
70. }
    
71. 
    
72. #最后一个可以不要
    
73. #context / {
    
74. #location      $VH_ROOT/
    
75. #￥allowBrowse     1
    
76. #extraHeaders Content-Security-Policy-Report-Only: default-src 'self'; report-uri default-src
    
77. #}
    
78. 
    

复制代码

您好，当前我们的默认配置是符合大多数人的使用，如果您需要添加header头的话，可以按照您的这个操作进行添加，非常感谢您的分享！

大炮运维V587 发表于 2022-11-10 09:29
您好，当前我们的默认配置是符合大多数人的使用，如果您需要添加header头的话，可以按照您的这个操作进行添 ...

默认设置 没有 跨站 以及安全 header 设置

轩城 发表于 2022-11-10 16:34
默认设置 没有 跨站 以及安全 header 设置

跨站可以在网站那里勾选上，但是header头的话暂时不考虑的