httpd.conf 設定
# 修改安全性
Header set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
SSLProxyEngine on
#回傳標頭資訊時,只要標示產品名稱"Apache"即可
ServerTokens Prod
# 不顯示Apache版本
ServerSignature Off
# 關閉除錯
TraceEnable Off
#啟動HSTS
Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains; preload"ssl.conf 設定
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!NULL:!RC4:!RC2:!DES:!3DES:!SHA:!SHA256:!SHA384:!MD5+HIGH:+MEDIUM
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off 以上若有安裝 Certbot 自動設定的話只需要在 ssl.conf 中新增下面即可,其餘則由 Certbot 自動設定.
SSLSessionTickets offphp.ini 設定
;關閉版本資訊
expose_php = Off
;停用遠端 URL 的檔案處理
allow_url_fopen = Off
allow_url_include = Off