Es gibt ein paar Gründe, warum Sie vielleicht benutzerdefinierte Header auf Ihrer Website hinzufügen möchten, aber der häufigste Grund ist heute das Hinzufügen von Apache- oder Nginx-Sicherheitsheadern. Viele dieser Header können nicht global vorab angewendet werden, da sie die Funktionalität einiger Sites direkt beeinflussen würden, die auf Funktionen angewiesen sind, die diese Header einschränken würden, und daher ist die Anwendung auf Site-Basis die beste und einzige Möglichkeit, sie hinzuzufügen.
Hier sind ein paar weitere Gründe, warum Sie vielleicht benutzerdefinierte Header hinzufügen möchten:
- Ein Leitfaden für Webanwendungen hat Sie angewiesen, HTTP/HTTPS-Header zu Ihrer Webserverkonfiguration zu ändern oder hinzuzufügen
- Sie möchten einen der folgenden Header-Typen hinzufügen:Vary, CORS, Cache-Control, X-Frame-Options usw.
TIPP :Die Plesk-Supportdokumente zum Hinzufügen von CORS-Headern weisen darauf hin, diese Header zu Feldern hinzuzufügen, die Sie in Plesk nicht sehen, da nur Administratoren Zugriff haben, um „Zusätzliche Anweisungen“-Felder zu bearbeiten. Die folgenden Schritte werden dieses Problem umgehen.
Zum Glück hat Plesk eine Funktion, die dies einfach macht! So geht's:
- Beginnen Sie mit der Anmeldung bei Plesk
- Suchen Sie Ihre Domain in der Liste und klicken Sie entweder darauf, um ihre Konfiguration zu bearbeiten, oder richten Sie Ihren Fokus auf das Raster der Schaltflächenkonfigurationsoptionen. Wenn Ihre Optionen mit Registerkarten versehen sind, klicken Sie auf die Registerkarte „Hosting &DNS“
- Wählen Sie die Schaltfläche „Apache- und Nginx-Einstellungen“ aus
- Unter Allgemeine Apache-Einstellungen finden Sie Zusätzliche Überschriften . Wählen Sie „Benutzerdefinierten Wert eingeben“ und geben Sie hier Ihre Kopfzeilen ein. Beachten Sie, dass, obwohl der Titel dieses Abschnitts „Apache“ enthält, die meisten (wenn nicht alle) Elemente hier für nginx gelten, es sei denn, es ist deaktiviert. Ein Beispiel für das zu verwendende Format/die zu verwendende Syntax finden Sie unter dem Texteingabefeld.
- Das hier zu verwendende Format ist
Header: Value - Wenn Sie fertig sind, scrollen Sie nach unten und klicken Sie auf "OK".
Allgemeine zu verwendende Sicherheitsheader
Im Folgenden finden Sie eine Reihe von Sicherheitsheadern, die Sie auf Ihre Website anwenden können. Es wird jedoch dringend empfohlen, nachzuschlagen, wie Sie eine Inhaltssicherheitsrichtlinie festlegen, da der korrekte Wert stark vom Inhalt Ihrer Website abhängt.
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
Diese Header verhindern, dass andere Websites böswillige Dinge mit Ihrer Website tun. Beispielsweise legen X-Frame-Optionen fest, dass nur Websites/Apps, die auf Ihrer eigenen Domain ausgeführt werden, Ihre Website in einen Frame/Iframe einfügen können.
Warnung: Möglicherweise möchten Sie die Content-Security-Policy nicht verwenden, wenn Sie WordPress verwenden und regelmäßig neue Funktionen hinzufügen. Das Ziel dieses Headers ist sicherzustellen, dass nur die in der Liste angegebenen Quellen Dateien für Ihre Website bereitstellen dürfen . Wenn Sie diesen Header festlegen und dann der Website Funktionen hinzufügen, die auf einer Ressource (Bild, Javascript, Stylesheet) basieren, die nicht in dieser Liste enthalten ist, funktioniert die Funktionalität wahrscheinlich nicht, bis Sie sie hinzufügen. Sie können jedoch unseren Leitfaden zur Verwendung Ihres Browser-Webinspektors und seiner Konsolenregisterkarte verwenden, um solche Probleme zu diagnostizieren und Ihren CSP-Header zu aktualisieren, da diesbezügliche Fehler dort gemeldet werden.