wp secure headers
v1.2.1
當網站使用任何 SSL 憑證時,可以使用簡單的幫助程式類別來管理 HTTP 安全標頭。不幸的是,許多插件都用於配置 SSL,但忽略了其中更詳細的部分 - 在請求中包含安全標頭。此類旨在提供一個簡單的介面來設定這些內容- 為大多數WP 網站帶來足夠的預定義標頭,而且還使編碼人員能夠設定或更改任何標頭- 並且可能還包括自訂的HTTP 標頭。
正如我們所希望的,這個函式庫可以使用 Composer 安裝
composer require carloswph/wp-secure-headers 。
或者,您可以只複製src資料夾中的類別並在您的外掛程式或主題中使用它。
類別WPHSecurityHeaders插入 Wordpress 的安全標頭。話雖如此,它已經附帶了一些基本標頭,可以使用靜態方法wPHSecurityHeaders::list()來查看這些標頭。未來,我們打算建立一些鍊式方法來允許詳細配置兩個特定標頭:Content-Security-Policy 和 Permissions-Policy。目前,兩者都可以透過set()方法加入到類別實例中。
use WPH Security Headers ;
require __DIR__ . ' /vendor/autoload.php ' ;
$ sec_headers = new Headers ();
$ sec_headers -> set ( ' Content-Security-Policy ' , ' connect-src "self" ' ); // Add new headers to the class array property. 從 1.2.0 版本開始,這個庫有一個額外的類,它可以作為參數通過主類傳遞,並在配置了數十個鏈方法後添加 Content-Security-Policy 標頭。一個例子:
use WPH Security Headers ;
use WPH Security ContentSecurityPolicy
require __DIR__ . ' /vendor/autoload.php ' ;
$ csp = new ContentSecurityPolicy ();
$ csp -> setChild ( ' https://google.com https://microsoft.com ' )
-> setConnect ( ' https://* ' );
$ sec_headers = new Headers ( $ csp ); // Adds the Content-Security-Policy to the headers pool, with all set parameters除了單獨配置各種 Content-Security-Policy 指令的所有方法之外,這個附加類別還有一個方法 ReportOnly(),它指示主類別應將標頭設定為 Content-Security-Policy-Report-Only。有關此複雜標頭的所有文件和資訊都可以在類別文件區塊註解中找到。
