Ci sono alcuni motivi per cui potresti voler aggiungere intestazioni personalizzate sul tuo sito web, tuttavia il motivo più comune oggi è aggiungere intestazioni di sicurezza Apache o nginx. Molte di queste intestazioni non possono essere pre-applicate a livello globale in quanto influenzerebbero direttamente la funzionalità di alcuni siti che si basano su funzionalità che queste intestazioni limiterebbero, quindi applicarle in base al sito è il modo migliore e unico per aggiungerle.
Ecco un paio di altri motivi per cui potresti voler aggiungere intestazioni personalizzate:
- Una guida per un'applicazione web ti ha detto di modificare o aggiungere intestazioni HTTP/HTTPS alla configurazione del tuo server web
- Desideri aggiungere uno dei seguenti tipi di intestazioni:Vary, CORS, Cache-Control, X-Frame-Options, ecc.
CONSIGLIO :i documenti di supporto di Plesk sull'aggiunta di intestazioni CORS indicano di aggiungere queste intestazioni ai campi che non vedi in Plesk, perché solo gli amministratori hanno accesso per modificare i campi "Direttive aggiuntive". I passaggi seguenti risolveranno questo problema.
Per fortuna Plesk ha una funzione che lo rende facile! Ecco come fare:
- Inizia accedendo a Plesk
- Trova il tuo dominio nell'elenco e fai clic su di esso per modificarne la configurazione oppure concentrati sulla griglia delle opzioni di configurazione dei pulsanti. Se le tue opzioni sono a schede, fai clic sulla scheda "Hosting e DNS"
- Seleziona il pulsante chiamato "Impostazioni Apache e nginx"
- In Impostazioni comuni di Apache troverai Intestazioni aggiuntive . Seleziona "Inserisci valore personalizzato" e inserisci qui le tue intestazioni. Si noti che anche se il titolo di questa sezione include "Apache", la maggior parte (se non tutti) gli elementi qui si applicheranno a nginx a meno che non sia disabilitato. Un esempio del formato/sintassi da utilizzare è fornito sotto la casella di immissione del testo.
- Il formato da utilizzare qui è
Header: Value - Al termine, scorri verso il basso e fai clic su OK.
Intestazioni di sicurezza comuni da utilizzare
Quello che segue è un ottimo set di intestazioni di sicurezza da applicare al tuo sito, anche se ti consigliamo vivamente di cercare come impostare una Content-Security-Policy poiché il valore corretto dipenderà fortemente dal contenuto del tuo sito.
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
Queste intestazioni impediscono ad altri siti di fare cose dannose con il tuo sito. Ad esempio, X-Frame-Options specifica che solo i siti/app in esecuzione sul tuo dominio possono inserire il tuo sito in un frame/iframe.
Avviso: Potresti non voler utilizzare Content-Security-Policy se utilizzi WordPress e aggiungi regolarmente nuove funzionalità. L'obiettivo di questa intestazione è garantire che solo le fonti specificate nell'elenco siano autorizzate a fornire file per il tuo sito web . Se imposti questa intestazione e poi aggiungi funzionalità al sito che si basa su una risorsa (immagine, javascript, foglio di stile) non inclusa in tale elenco, la funzionalità probabilmente non funzionerà finché non la aggiungi. Detto questo, puoi utilizzare la nostra guida all'utilizzo del Web Inspector del browser e della relativa scheda della console per diagnosticare tali problemi e aggiornare l'intestazione CSP poiché gli errori relativi a questo verranno segnalati lì.