Я не занимаюсь настройкой серверов, когда речь заходит о безопасности. Я стараюсь максимально обезопасить свой сайт. Нашел несколько фрагментов и сделал свой кастом .htaccess:
<IfModule mod_headers.c>
Header set Referrer-Policy "no-referrer"
</IfModule>
<IfModule mod_headers.c>
Header always set X-FRAME-OPTIONS "DENY"
</IfModule>
<IfModule mod_headers.c>
Header always set X-XSS-Protection "1; mode=block"
</IfModule>
<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
</IfModule>
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://www.google.com"
</IfModule>
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=360000; includeSubDomains; preload"
</IfModule>
При использовании таких инструментов, как Checkbot SEO, мне сообщают, что я не пользуюсь HSTS, clickjack и XSS защитой.
Некоторый контент защищен от прослушивания. Но только как 13%.
Правильно ли файл .htaccess? Я использую all-inkl в качестве хостера. Насколько я знаю, все-инкл отправляет заголовки. Я также попытался собрать все правила, например:
<IfModule mod_headers.c>
Header set Referrer-Policy "no-referrer"
Header always set X-FRAME-OPTIONS "DENY"
Header always set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "script-src 'self' https://www.google.com"
Header set Strict-Transport-Security "max-age=360000; includeSubDomains; preload"
</IfModule>