davidbgk
/
larlet-fr-david
关注 1
点赞 0
派生 0
代码 版本发布 0 动态
Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
您最多选择25个主题 主题必须以字母或数字开头,可以包含连字符 (-),并且长度不得超过35个字符
285 提交
1 分支
目录树: ff64b1d190
分支列表 标签列表
${ item.name }
创建分支 ${ searchTerm }
从 'ff64b1d190'
${ noResults }
larlet-fr-david/david/stream/2015/07/15/index.md

index.md 902B
原始文件 普通视图 文件历史

Add initial content
4 年前
 12345678910 
  1. title: Headers et sécurité (2)

  2. 

  3. En poursuivant [mes recherches](/david/stream/2015/07/14/) sur les *headers*, j’ai découvert le site [SecurityHeaders](https://securityheaders.io/) qui est plutôt bien documenté et qui m’a permis d’ajouter les lignes suivantes à ma configuration Apache :

  4. 

  5.     :::shell

  6.     Header always set X-Content-Type-Options nosniff

  7.     Header always set X-XSS-Protection "1; mode=block"

  8. 

  9. 

  10. Cela réduit la manière d’exposer mes ressources aux *mimetypes* que j’ai explicitement définis et limite les attaques XSS en laissant le navigateur essayer de les éviter de lui-même. Il me manque le *header* `Public-Key-Pins` pour être complet mais ça implique de [potentielles erreurs lors des mises à jours](https://scotthelme.co.uk/hpkp-http-public-key-pinning/) ([cache](/david/cache/03b7612652c2e454733ffae0b90274c8/)) des certificats alors j’hésite encore.