简介

浏览器与网络标准安全工具

此Joomla插件实现了HTTP安全头部的UI层,以便每个人都可以从后端设置和配置它们。


HttpHeader插件

特性

此Joomla插件帮助您设置以下HTTP安全头部。
- Strict-Transport-Security
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
- Expect-CT
- Feature-Policy
- Permissions-Policy

此插件还提供了一些简单的默认设置,用于
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy

注意:如果您已经在服务器上直接配置了一些HTTP安全头部,则此插件可能会创建重复条目。

配置此HTTP安全头部插件后,请检查您的HTTP头部输出。在Google Chrome中:检查 > 网络 > 头部下的输出)。
在这个插件中,您可以禁用导致重复条目的设置。同时,请检查浏览器控制台以查找可能的错误。

配置

插件初始设置

现在初始设置已完成,您可以从配置头部开始。

默认头部

请注意,默认情况下,以下头部和值已设置:
X-Frame-Options: SAMEORIGIN
更多信息:https://scotthelme.co.uk/hardening-your-http-response-headers/#x-frame-options
X-XSS-Protection: 1; mode=block
更多信息:https://scotthelme.co.uk/hardening-your-http-response-headers/#x-xss-protection
X-Content-Type-Options: nosniff
更多信息:https://scotthelme.co.uk/hardening-your-http-response-headers/#x-content-type-options
Referrer-Policy: no-referrer-when-downgrade
更多信息:https://scotthelme.co.uk/a-new-security-header-referrer-policy/

您可以通过更改插件配置来禁用或更改这些值之一。

选项说明

强制HTTP头部

使用此功能,您可以设置与默认值不同的值,并强制设置头部。支持的头包括
- Strict-Transport-Security
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
- Expect-CT
- Feature-Policy
- Cross-Origin-Opener-Policy
- Permissions-Policy

您还可以决定是否仅应用于前端和或后端以及或两个站点。

HTTP严格传输安全(HSTS)

此选项激活“严格传输安全”并允许配置该头部的值,包括包含子域名最大注册时间(max-age)预加载

HSTS意味着您的域名不能再不使用HTTPS的情况下被调用。一旦添加到预加载列表,这将难以撤销。域名可以被删除,但用户需要通过浏览器更新进行更改需要数月。此选项对于防止“中间人攻击”非常重要,因此应始终激活,但只有在您确信域名及其所有子域名长期完全支持HTTPS的情况下才应激活!“最大注册时间”的值必须设置为63072000(2年)以进行记录。

内容安全策略(CSP)

使用此选项可以单独设置Content-Security-Policy规则,包括为不同的指令设置专用子表单以及在Report-Only模式下设置规则。

更新服务器

请注意,我的更新服务器仅支持运行最新版本的Joomla和至少PHP 7.0的最新版本。
下载部分可能添加的任何其他插件版本都不会通过更新服务器进行更新。

问题/拉取请求

您发现了问题,有疑问或想就本扩展提出更改建议吗?
在此存储库中打开问题或提交包含提议更改的拉取请求。

翻译

您想将此扩展翻译成您的语言吗?请查看我的扩展Crowdin页面以获取更多详细信息。如有任何疑问,请随时在此处打开问题。

此插件已翻译成以下语言
- de-DE by @zero-24
- en-GB by @zero-24 & @brianteeman
- fr-FR by @Sandra97 & @YGomiero
- it-IT by @jeckodevelopment
- nl-NL by @pe7er

此存储库之外

此插件已包含在 Joomla 核心中(joomla/joomla-cms#18301),并将成为即将发布的 4.0 版本的一部分。请注意,核心插件已被重命名为 plgsystemhttpheaders(额外 s),并通过新的 com_csp 组件扩展到核心分发。

特别感谢

David Jardin - @snipersister - https://www.djumla.de/ & Yves Hoppe - @yvesh - https://compojoom.com/

为给我提供插件灵感和对实际实施的反馈。谢谢 :+1

功能
确实做到了预期的事情,并且使应用安全响应头变得简单。
易用性
直接,一旦你记得在添加和启用扩展后清除缓存。
支持
对我的问题反应迅速。支持平台有点简陋。
文档
直接且简洁 - 你确实需要对 http 安全头有些了解。
我使用它来: 提高所有 Joomla 3 网站的创建安全响应头的效率。
功能
能够设置所有头部,以在 securityheaders com 上获得良好的分数。
易用性
如果你知道自己在做什么,它就超级容易使用。但你需要事先了解一些关于安全头部的知识!!!
我使用它来: 我管理的所有网站。现在它们在 securityheaders com 上都获得了 A 或 A+ 分数。
所有者的回复: 感谢您的正面评论。是的,我尝试在插件和自述文件中包含一些文档,但当你想超越默认头部时,需要了解一些头部知识。
功能
此插件强化了 HTTP 安全头部(X-XSS-Protection、Strict-Transport-Security、Content-Security-Policy)。
易用性
安装简单。它使用一些简单的默认值。注意配置内容安全策略:管理员使用一些 JavaScript。
支持
我没有需要任何支持。插件有自己的公共 GitHub 存储库,您可以在其中创建问题,如果您发现任何问题。
文档
优秀的文档,解释了所有设置并引用了有关“强化您的 HTTP 响应头”的现有文档。
我使用它来: 此插件将成为 Joomla 4 的核心!在我使用的 Joomla 3.9 网站上,我使用它来强化 HTTP 安全头部(改善您的访客浏览器对 https 的执行严格性)。
所有者的回复: 感谢您的评论 Peter。根据您的建议,文档已经得到了进一步的改进!谢谢!
AdvancedRedirect
免费

AdvancedRedirect

由 Tobias Zulauf 开发
URL 重定向
AdvancedRedirect 插件 此插件基于 Joomla 核心重定向插件,充当所谓的核心插件的替代品。除了 Joomla 核心插件外,它还允许您定义自己的派生规则。配置 初始设置 插件 下载插件的最新版本 使用上传和安装安装插件 禁用核心系统 - 重定向...
ImageLazyloading
免费

ImageLazyloading

由 Tobias Zulauf 开发
图片
ImageLazyloading 插件 此 Joomla 插件将 lazyloading 属性设置到图片上。功能 此 Joomla 插件将 lazyloading 属性设置到所有通过 onContentPrepare 事件的图片,以允许现代浏览器懒加载图片。有关加载属性的更多信息: - 描述:https://mdn.org.cn/en-US/docs/Web/HTML/Element/img#attr-loading. - HTML...
PrivacyCheckbox
免费

隐私复选框

由 Tobias Zulauf 开发
自定义字段
隐私复选框插件 此Joomla插件允许您在支持自定义字段的任何扩展中创建类型为'privacycheckbox'的新字段。功能 此插件允许您在任何支持自定义字段的表单中创建单个复选框字段,例如在联系表中,您可以确保隐私信息被勾选。但这同样允许任何其他单复选框用例。...
FetchMetadata
免费

FetchMetadata

由 Tobias Zulauf 开发
安全工具
FetchMetadata插件 此Joomla插件通过使用Fetch Metadata请求头(w3c-spec)来帮助保护您的网站。功能 此Joomla插件通过使用Fetch Metadata请求头来保护您的网站,实施的规则包括: - 步骤1:允许不发送Fetch Metadata的浏览器请求 - 步骤2:允许同站和浏览器发起的请求 - 步骤3:允许简单的顶级...
Force2faUsergroup
免费

Force2faUsergroup

由 Tobias Zulauf 开发
安全工具
Force2faUsergroup插件 此插件允许强制特定用户组中的用户设置2FA。功能 此插件允许强制特定用户组中的用户设置2FA。配置以下组以在下次登录时强制设置2FA。配置 初始设置插件 下载插件最新版本 使用上传和安装安装插件 启用插件 系统...
CustomCSS
免费

CustomCSS

由 Tobias Zulauf 开发
模板化
CustomCSS插件 此Joomla插件允许您在模板不支持的情况下加载custom.css / custom.min.css。感谢您的支持!功能 此插件检查是否存在custom.css(或custom.min.css)文件在/templates/"templatename"/css或/administrator/templates/"templatename"/css中。如果存在,它将被加载到网站。 - 使用custom.css,您可以...
AntiSpamExtended
免费

AntiSpamExtended

由 Tobias Zulauf 开发
访问与安全
AntiSpamExtended插件 此Joomla插件通过允许您阻止任何非ASCII字符或禁止的单词/字符,为您的Joomla联系表单实现额外的反垃圾邮件保护层。功能 此Joomla插件允许您通过以下方式保护您的Joomla联系表单: - 阻止任何非ASCII字符 - 白名单允许的非ASCII字符 - 维护禁止的单词/...
MyDocsLanguage
免费

MyDocsLanguage

由 Tobias Zulauf 开发
内容链接
MyDocsLanguage插件 此Joomla插件在需要时自动为docs.joomla.org链接添加Special:MyLanguage标签。功能 此插件在ContentBeforeSave上运行,并确保所有指向docs.joomla.org的链接都包含Special:MyLanguage标签进行翻译。配置 初始设置插件 下载插件最新版本 使用上传和安装安装插件...
TaskCheckin
免费

TaskCheckin

由 Tobias Zulauf 开发
网站管理工具
TaskCheckin插件 此Joomla任务插件允许全局签入所有项目。更新服务器请注意,我的更新服务器仅支持运行最新版本的Joomla和至少PHP 7.2.5的最新版本。任何其他可能添加到下载部分的插件版本都不会使用更新服务器进行更新。问题/拉取请求 您发现了问题,有疑问...
ExtensionUpdates
免费

ExtensionUpdates

由 Tobias Zulauf 开发
网站管理工具
ExtensionUpdates插件 此Joomla插件检查扩展的更新,并在可用时发送电子邮件,代码基于核心plgtaskupdatenotification插件。配置 初始设置插件 下载插件最新版本 使用上传和安装安装插件 在插件管理器中设置新的任务插件...
GitDeploy
免费

GitDeploy

由 Tobias Zulauf 开发
网站管理
GitDeploy 插件 此插件允许自动从 Git 仓库部署更改,并基于 KickDeploy 功能 此插件允许监听 GitHub 钩子,然后从 Git 仓库部署更改。配置 初始设置插件 下载插件最新版本 使用“上传 & 安装”安装插件 从插件管理器启用插件 系统 - GitDeploy...
submitmailer
免费

submitmailer

由 Tobias Zulauf 开发
内容提交
SubmitMailer 插件 此 Joomla 插件在新的内容或网页链接项提交时发送电子邮件通知。配置 初始设置插件 下载插件最新版本 使用“上传 & 安装”安装插件 从插件管理器启用插件 内容 - SubmitMailer 设置...

HttpHeader

版本
1.0.17
开发者
托比亚斯·祖拉夫
最后更新
2024年3月17日
6个月前
添加日期
2020年3月23日
许可证
GPLv2 或更高版本
类型
免费下载
包括
p
兼容性
J3 J4 J5
下载

使用 Joomla! 更新系统

评分


写一条评论