我目前正在实施内容安全策略。但我的 apache 拒绝接受配置设置。
我目前使用的 apache2 版本是:2.2.22 和 2.4.7。这两个 apache2 版本似乎都不起作用。
我的配置设置是:
Header always set Content-Security-Policy: frame-src 'self' *.google.de google.de *.google.com google.com;
Header always set Content-Security-Policy-Report-Only: default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; report-uri https://www.myhostname.com/report/report.php;
Header always set X-Content-Security-Policy: frame-src 'self' google.de google.com;
在上述任一设置上,我都会收到以下错误消息。如果我注释掉一行,错误只会更改为以下行:
Output of config test was:
AH00526: Syntax error on line 7 of /etc/apache2/conf-enabled/security.conf:
Header has too many arguments
Action 'configtest' failed.
我尝试了所有可能的设置组合,但都出现了相同的错误消息。所以,我相信我的 Apache 不支持这些标头?但我在网上没有找到有关此问题的任何信息。
或者我只是忽略了某些关键的东西?我还从其他页面复制了各种示例,但它们也产生了同样的错误。
标头总体上工作正常。我设置了几个其他标头,它们工作正常:
Header always set X-Content-Type-Options nosniff
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Permitted-Cross-Domain-Policies "master-only"
Header always set Cache-Control "no-cache, no-store, must-revalidate"
Header always set Pragma "no-cache"
Header always set Expires "-1"
感谢您!
答案1
如果标头的值包含空格,则必须用双引号将其括起来。您的示例已经这样做了,但您想要的新标头却没有这样做。
例如,您尝试过:
Header always set Content-Security-Policy: frame-src 'self' *.google.de google.de *.google.com google.com;
它应该是:
Header always set Content-Security-Policy: "frame-src 'self' *.google.de google.de *.google.com google.com;"
或者你可以这样做:
Header always set Content-Security-Policy: "\
frame-src 'self' \
*.google.de \
google.de \
*.google.com \
google.com \
;"