Web サイトにカスタム ヘッダーを追加する理由はいくつかありますが、現在最も一般的な理由は、apache または nginx セキュリティ ヘッダーを追加することです。これらのヘッダーの多くは、これらのヘッダーが制限する機能に依存する一部のサイトの機能に直接影響するため、グローバルに事前に適用することはできません。したがって、サイトごとに適用することが、それらを追加する最良かつ唯一の方法です。 /P>
カスタム ヘッダーを追加する理由は他にもいくつかあります。
- Web アプリケーション ガイドから、HTTP/HTTPS ヘッダーを変更するか、Web サーバー構成に追加するように指示されています
- Vary、CORS、Cache-Control、X-Frame-Options などのヘッダー タイプのいずれかを追加したい
ヒント :CORS ヘッダーの追加に関する Plesk サポート ドキュメントでは、これらのヘッダーを Plesk に表示されないフィールドに追加するように指示されています。これは、管理者のみが「追加ディレクティブ」フィールドを編集するためのアクセス権を持っているためです。以下の手順でこの問題を回避できます。
ありがたいことに、Plesk にはこれを簡単にする機能があります。方法は次のとおりです。
<オール>Header: Value です 使用する一般的なセキュリティ ヘッダー
以下は、サイトに適用するための優れたセキュリティ ヘッダーのセットですが、正しい値はサイトのコンテンツに大きく依存するため、Content-Security-Policy の設定方法を調べることを強くお勧めします。
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
これらのヘッダーは、他のサイトがあなたのサイトで悪意のある行為を行うのを防ぎます。たとえば、X-Frame-Options は、独自のドメインで実行されているサイト/アプリのみがサイトをフレーム/iframe に配置できることを指定します。
警告: WordPress を使用していて、定期的に新しい機能を追加している場合は、Content-Security-Policy を使用したくない場合があります。このヘッダーの目的は、リストで指定されたソースのみが Web サイトにファイルを提供できるようにすることです。 .このヘッダーを設定してから、そのリストに含まれていないリソース (画像、JavaScript、スタイルシート) に依存する機能をサイトに追加すると、その機能は追加するまで機能しない可能性があります。とはいえ、ブラウザーの Web インスペクターとそのコンソール タブを使用するためのガイドを使用して、このような問題を診断し、CSP ヘッダーを更新することができます。これに関連するエラーが報告されるからです。