如何在 CloudFlare Page 設定 A+ 等級的 HTTP Headers

2024-11-13

說明

先上設定成果 😊

要在 CloudFlare 加入 Custom HTTP Headers,可以在 CloudFlare Page 加入 _headers 檔案,並針對路由分別設定要加上的 HTTP Headers。

本次使用的 A+ 等級的 HTTP Headers 設定如下:

/*
  X-Frame-Options: DENY
  X-Content-Type-Options: nosniff
  Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
  Permissions-Policy: camera=(), microphone=()
  Content-Security-Policy: img-src 'self' https:;

各設定的用途說明如下:

  • X-Frame-Options: 防止網站被嵌入在其他網站的 iframe 中,以減少點擊劫持攻擊 (clickjacking ) 的風險
  • X-Content-Type-Options: 防止瀏覽器嘗試推測 MIME 類型,降低某些攻擊的風險
  • Strict-Transport-Security: 強制網站使用 HTTPS 連線
  • Permissions-Policy: 控制特定瀏覽器功能的使用權限,此設定禁止對相機和麥克風 API 的訪問。
  • Content-Security-Policy: 限制圖片來源僅來自本網域(self)或安全的 HTTPS 網域,以提高防範跨站腳本攻擊(XSS)安全性。
#Blog #CyberSecurity #CloudFlare