简介
HttpHeader插件
特性
此Joomla插件帮助您设置以下HTTP安全头部。
- Strict-Transport-Security
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
- Expect-CT
- Feature-Policy
- Permissions-Policy
此插件还提供了一些简单的默认设置,用于
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
注意:如果您已经在服务器上直接配置了一些HTTP安全头部,则此插件可能会创建重复条目。
配置此HTTP安全头部插件后,请检查您的HTTP头部输出。在Google Chrome中:检查 > 网络 > 头部下的输出)。
在这个插件中,您可以禁用导致重复条目的设置。同时,请检查浏览器控制台以查找可能的错误。
配置
插件初始设置
- 下载插件的最新版本
- 使用
上传 & 安装
安装插件 - 在插件管理器中启用插件
系统 - HttpHeader
现在初始设置已完成,您可以从配置头部开始。
默认头部
请注意,默认情况下,以下头部和值已设置:
X-Frame-Options: SAMEORIGIN
更多信息:https://scotthelme.co.uk/hardening-your-http-response-headers/#x-frame-options
X-XSS-Protection: 1; mode=block
更多信息:https://scotthelme.co.uk/hardening-your-http-response-headers/#x-xss-protection
X-Content-Type-Options: nosniff
更多信息:https://scotthelme.co.uk/hardening-your-http-response-headers/#x-content-type-options
Referrer-Policy: no-referrer-when-downgrade
更多信息:https://scotthelme.co.uk/a-new-security-header-referrer-policy/
您可以通过更改插件配置来禁用或更改这些值之一。
选项说明
强制HTTP头部
使用此功能,您可以设置与默认值不同的值,并强制设置头部。支持的头包括
- Strict-Transport-Security
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
- Expect-CT
- Feature-Policy
- Cross-Origin-Opener-Policy
- Permissions-Policy
您还可以决定是否仅应用于前端和或后端以及或两个站点。
HTTP严格传输安全(HSTS)
此选项激活“严格传输安全”并允许配置该头部的值,包括包含子域名
、最大注册时间(max-age)
和预加载
。
HSTS意味着您的域名不能再不使用HTTPS的情况下被调用。一旦添加到预加载列表,这将难以撤销。域名可以被删除,但用户需要通过浏览器更新进行更改需要数月。此选项对于防止“中间人攻击”非常重要,因此应始终激活,但只有在您确信域名及其所有子域名长期完全支持HTTPS的情况下才应激活!“最大注册时间”的值必须设置为63072000(2年)以进行记录。
内容安全策略(CSP)
使用此选项可以单独设置Content-Security-Policy
规则,包括为不同的指令设置专用子表单以及在Report-Only
模式下设置规则。
更新服务器
请注意,我的更新服务器仅支持运行最新版本的Joomla和至少PHP 7.0的最新版本。
下载部分可能添加的任何其他插件版本都不会通过更新服务器进行更新。
问题/拉取请求
您发现了问题,有疑问或想就本扩展提出更改建议吗?
在此存储库中打开问题或提交包含提议更改的拉取请求。
翻译
您想将此扩展翻译成您的语言吗?请查看我的扩展Crowdin页面以获取更多详细信息。如有任何疑问,请随时在此处打开问题。
此插件已翻译成以下语言
- de-DE by @zero-24
- en-GB by @zero-24 & @brianteeman
- fr-FR by @Sandra97 & @YGomiero
- it-IT by @jeckodevelopment
- nl-NL by @pe7er
此存储库之外
此插件已包含在 Joomla 核心中(joomla/joomla-cms#18301),并将成为即将发布的 4.0 版本的一部分。请注意,核心插件已被重命名为 plgsystemhttpheaders(额外 s
),并通过新的 com_csp 组件扩展到核心分发。
特别感谢
David Jardin - @snipersister - https://www.djumla.de/ & Yves Hoppe - @yvesh - https://compojoom.com/
为给我提供插件灵感和对实际实施的反馈。谢谢 :+1
HttpHeader
- 版本
- 1.0.17
- 开发者
- 托比亚斯·祖拉夫
- 最后更新
- 2024年3月17日
6个月前 - 添加日期
- 2020年3月23日
- 许可证
- GPLv2 或更高版本
- 类型
- 免费下载
- 包括
- p
- 兼容性
- J3 J4 J5
使用 Joomla! 更新系统
分享