Q&A
いれてアクセスしたらHTTPヘッダーがをみれるのになぜ試さない?
発生している問題
.htaccessの書き方が分かりません。以下のheaderを.htaccessで全体に加えたいとき、これで書き方であっていますか?ご教授ください。
PHP
php
1header("X-XSS-Protection: 1"); 2header("X-Frame-Options:SAMEORIGIN"); 3header("X-Content-Type-Options:nosniff"); 4header("Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0"); 5header("Strict-Transport-Security: max-age=31536000 ; includeSubDomains");
この内容を.htaccessで書くと、
<IfModule mod_headers.c> Header set X-XSS-Protection "1" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options nosniff Header set Cache-Control "no-cache; no-store; max-age=0" "must-revalidate Pragma: no-cache Expires: 0" Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" </IfModule>
となりますか? あとこれ以外にやった方がいいセキュリティ対策ってありますかね? Content-Security-Policy は各ページに書きました。
補足情報(ツールのバージョンなど)
chrome最新版、
すみません初心者でよくわからないのですが、.htaccessが間違っていたら500エラーとなってどこが間違っているか分からないと思うのですが......。httpヘッダーを見る、というのはどうやるのですか?
>どこが間違っているか分からないと思うのですが......。
言語が出しているエラーメッセージに頼りすぎると今の質問者さんのように調査すらしなくなってしまうので、1行1行確かめていくしかないかと。
構文だけであればチェックしてくれるWebサービスはありますよ。調べましたか?
http://www.htaccesscheck.com このサービスでしょうか?
さっそく入れてダメ出しもらいました。
回答2件
0
「.htaccess header」で、検索すると色々見つかります。
公式ドキュメント mod_headers を見ると Header ディレクティブは、.htaccess でも使えるので、まずは試してみましょう。
もし、500 エラーが出たら、追加したものを一度削除して1行ずつ追加して試せば、エラーになったものが原因行です。
投稿2020/02/08 08:47
総合スコア25171
>追加したものを一度削除して1行ずつ追加して試せば、エラーになったもの
最近便利になりすぎたせいか、これをやらない人ばかりになってきてる気がします。
0
自己解決
以下の内容に決めました。
<IfModule mod_headers.c> Header set X-XSS-Protection "1" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options nosniff </IfModule> <Files ~ ".(gif|jpe?g|png|ico|otf|ttf|eot|woff)$"> Header set Pragma no-cache Header set Cache-Control no-cache Header set Expires "0" </Files> <Files ~ ".(css|js|html|gz)$"> Header set Pragma no-cache Header set Cache-Control no-cache Header set Expires "0" </Files>
投稿2020/02/08 10:01
総合スコア46
あなたの回答
tips
プレビュー
