弱點掃描:低風險
Apache 沒有設定 Response Header,因為需要在 Response Header 中回傳 X-Frame-Options 屬性

在 httpd.conf 中,確認 headers 模組是否安裝。

LoadModule headers_module modulesmod_headers.so

在 httpd.conf 中,加入:

Header always append X-Frame-Options SAMEORIGIN
Header set Content-Security-Policy "default-src 'self'"

X-Frame-Options SAMEORIGIN – 唯有當符合同源政策下,才能被嵌入到 frame 中。

Content-Security-Policy default-src ‘self’ – 只允許本站資源 (CSP 主要是在減少跨站腳本攻擊)

新增完成後,重新啟動 Apache server

最後修改日期: 2019 年 12 月 19 日