wp secure headers
v1.2.1
当网站使用任何 SSL 证书时,可以使用一个简单的帮助程序类来管理 HTTP 安全标头。不幸的是,许多插件都用于配置 SSL,但忽略了其中更详细的部分 - 在请求中包含安全标头。此类旨在提供一个简单的界面来设置这些内容 - 为大多数 WP 网站带来足够的预定义标头,而且还使编码器能够设置或更改任何标头 - 并且可能还包括自定义的 HTTP 标头。
正如我们所希望的,这个库可以使用 Composer 安装
composer require carloswph/wp-secure-headers 。
或者,您可以只复制src文件夹中的类并在您的插件或主题中使用它。
类WPHSecurityHeaders插入 Wordpress 的安全标头。话虽如此,它已经附带了一些基本标头,可以使用静态方法wPHSecurityHeaders::list()来查看这些标头。将来,我们打算构建一些链式方法来允许详细配置两个特定标头:Content-Security-Policy 和 Permissions-Policy。目前,两者都可以通过set()方法添加到类实例中。
use WPH Security Headers ;
require __DIR__ . ' /vendor/autoload.php ' ;
$ sec_headers = new Headers ();
$ sec_headers -> set ( ' Content-Security-Policy ' , ' connect-src "self" ' ); // Add new headers to the class array property. 从 1.2.0 版本开始,这个库有一个额外的类,它可以作为参数通过主类传递,并在配置了数十个链方法后添加 Content-Security-Policy 标头。一个例子:
use WPH Security Headers ;
use WPH Security ContentSecurityPolicy
require __DIR__ . ' /vendor/autoload.php ' ;
$ csp = new ContentSecurityPolicy ();
$ csp -> setChild ( ' https://google.com https://microsoft.com ' )
-> setConnect ( ' https://* ' );
$ sec_headers = new Headers ( $ csp ); // Adds the Content-Security-Policy to the headers pool, with all set parameters除了单独配置各种 Content-Security-Policy 指令的所有方法之外,这个附加类还有一个方法 ReportOnly(),它指示主类应将标头设置为 Content-Security-Policy-Report-Only。有关此复杂标头的所有文档和信息都可以在类文档块注释中找到。
