如何在我的应用引擎上设置标题指令?

如何在我的应用引擎上设置标题指令?

因此,我扫描了我的网站以查找漏洞,并发现了这个,但我不知道如何在谷歌云应用引擎中修复它:

我真的不知道应该在哪里包含标题指令,但我想它在 app.yaml 中,但我不知道使用什么“标签”来设置标题,或者它是否是 CloudFlare 侧补丁。

以下是修复方法的 URL:

https://wiki.crashtest-security.com/enable-security-headers?utm_source=Crashtest%20Security%20Suite&utm_medium=Suite

我尝试在互联网上搜索答案,但找不到任何人可以解决此问题。

我正在使用带有 python 3.7 的 Flask。

答案1


请注意,该答案基于文档示例且未经测试。


根据app.yaml 的 Google Cloud 文档您链接到的网站,并带有所需的安全标头,您可能希望尝试以下操作例如:

handlers:
- url: /images
  static_dir: static/images
  http_headers:
    # X-Foo-Header: foo
    # X-Bar-Header: bar value 
    strict-transport-security: max-age=31536000
    x-frame-options: deny
    x-xss-protection: 1; mode=block
    X-Content-Type-Options: nosniff
    content-security-policy: default-src 'self'
    referrer-policy: strict-origin-when-cross-origin

您可能需要为应用使用的每个常规 URL 单独设置这些内容。如果遇到任何问题,您还可以尝试“大写”版本:

Strict-Transport-Security: max-age=31536000
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'self'
Referrer-Policy: strict-origin-when-cross-origin

请注意,您可能需要小心设置Strict-Transport-Security标头,因为它会有效地禁用对网站的 HTTP 访问。即使您删除了标头,您也可能需要采取额外步骤将其从浏览器中清除。

相关内容