Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) là một cơ chế chính sách bảo mật web được thiết kế để bảo vệ các trang web HTTPS chống lại các cuộc tấn công hạ cấp và chiếm quyền điều khiển cookie. Máy chủ web được định cấu hình để sử dụng HSTS hướng dẫn trình duyệt web (hoặc phần mềm ứng dụng khách khác) chỉ sử dụng các kết nối HTTPS và không cho phép sử dụng giao thức HTTP.
Hướng dẫn này được gọi là “Chính sách HSTS” và được gửi tới máy khách như một phần của yêu cầu kết nối ban đầu bằng cách sử dụng trường tiêu đề phản hồi HTTP (
Strict-Transport-Security). Chính sách HSTS của máy chủ bao gồm thời lượng các hướng dẫn sẽ được máy khách lưu vào bộ nhớ đệm và nếu các miền phụ cũng chỉ sử dụng HTTPS.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 | /** * Enables the HTTP Strict Transport Security (HSTS) header in WordPress. * Includes preloading with subdomain support. */ function tg_enable_strict_transport_security_hsts_header_wordpress() { header( 'Strict-Transport-Security: max-age=31536000; includeSubDomains; preload' ); } add_action( 'send_headers', 'tg_enable_strict_transport_security_hsts_header_wordpress' ); // X-Frame-Options function add_x_frame_options() { header("X-Frame-Options: sameorigin"); } add_action('send_headers', 'add_x_frame_options'); // Content-Security-Policy function add_content_security_policy () { header("Content-Security-Policy: upgrade-insecure-requests; block-all-mixed-content"); } add_action('send_headers', 'add_content_security_policy'); // X-Content-Type-Options function add_x_content_type_options() { header("X-Content-Type-Options: nosniff"); } add_action('send_headers', 'add_x_content_type_options'); // Referrer-Policy function add_referrer_policy() { header("Referrer-Policy: no-referrer-when-downgrade"); } add_action('send_headers', 'add_referrer_policy'); // Permissions-Policy function add_permissions_policy() { header("Permissions-Policy: geolocation=(self), microphone=(), camera=()"); } add_action('send_headers', 'add_permissions_policy'); // X-XSS-Protection function add_x_xss_protection() { header("X-XSS-Protection: 1; mode=block"); } add_action('send_headers', 'add_x_xss_protection'); |