如何在我的应用引擎上设置标题指令？

Question

请注意，该答案基于文档示例且未经测试。

根据app.yaml 的 Google Cloud 文档和您链接到的网站，并带有所需的安全标头，您可能希望尝试以下操作例如：

handlers:
- url: /images
  static_dir: static/images
  http_headers:
    # X-Foo-Header: foo
    # X-Bar-Header: bar value 
    strict-transport-security: max-age=31536000
    x-frame-options: deny
    x-xss-protection: 1; mode=block
    X-Content-Type-Options: nosniff
    content-security-policy: default-src 'self'
    referrer-policy: strict-origin-when-cross-origin

您可能需要为应用使用的每个常规 URL 单独设置这些内容。如果遇到任何问题，您还可以尝试“大写”版本：

Strict-Transport-Security: max-age=31536000
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'self'
Referrer-Policy: strict-origin-when-cross-origin

请注意，您可能需要小心设置Strict-Transport-Security标头，因为它会有效地禁用对网站的 HTTP 访问。即使您删除了标头，您也可能需要采取额外步骤将其从浏览器中清除。

Answer 1

请注意，该答案基于文档示例且未经测试。

根据app.yaml 的 Google Cloud 文档和您链接到的网站，并带有所需的安全标头，您可能希望尝试以下操作例如：

handlers:
- url: /images
  static_dir: static/images
  http_headers:
    # X-Foo-Header: foo
    # X-Bar-Header: bar value 
    strict-transport-security: max-age=31536000
    x-frame-options: deny
    x-xss-protection: 1; mode=block
    X-Content-Type-Options: nosniff
    content-security-policy: default-src 'self'
    referrer-policy: strict-origin-when-cross-origin

您可能需要为应用使用的每个常规 URL 单独设置这些内容。如果遇到任何问题，您还可以尝试“大写”版本：

Strict-Transport-Security: max-age=31536000
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'self'
Referrer-Policy: strict-origin-when-cross-origin

请注意，您可能需要小心设置Strict-Transport-Security标头，因为它会有效地禁用对网站的 HTTP 访问。即使您删除了标头，您也可能需要采取额外步骤将其从浏览器中清除。

如何在我的应用引擎上设置标题指令？

答案1

相关内容