今日分享一下點樣幫 Blog 加強資訊安全。
為咩要加 Security Headers?
當你嘅網站上線後,會面對各種攻擊風險:
- 點擊劫持 (Clickjacking) - 攻擊者透過 iframe 嵌入你嘅網站
- XSS 攻擊 - 跨站腳本攻擊
- MIME 類型 sniffing - 瀏覽器錯誤解析檔案
Security Headers 可以幫你攔截呢啲攻擊。
我加入咗邊啲 Headers?
|
|
用 Cloudflare Pages 自動設定
喺 Hugo 專案入面新增 static/_headers 檔案:
/*
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Content-Security-Policy: default-src 'self'; ...
Cloudflare Pages 會自動偵測並套用呢啲 headers。
掃描工具
你可以用 securityheaders.com 檢查你嘅網站。
小結
加強資訊安全係一個持續嘅過程,建議定期:
- 更新 Hugo 版本
- 更新 theme
- 檢查有冇新嘅安全威脅
記錄呢個設定,下次再設定新網站就知道點做。