0

我试图在 apache.conf 中取消设置这些标头并重新启动 apache。但是当我查看网页时,它仍然出现在响应标题中。(清除缓存并删除 cookie)我如何删除它们,尤其是 CSP?

Header unset X-Frame-Options
Header unset X-XSS-Protection
Header unset X-Content-Type-Options
Header unset X-Permitted-Cross-Domain-Policies

Header unset X-Content-Security-Policy 

Header unset X-Webkit-CSP 

Header unset Cache-Control 
Header unset Pragma 

Header unset Expires
4

1 回答 1

1

首先,我不确定您为什么要取消其中的很多设置!出于安全和性能原因,它们是重要的标头。但不管怎么说...

关于为什么没有取消设置,我可以想到两个原因:

  1. 稍后在您的配置中,您将再次设置它们。也许将它们移动到 apache.conf 文件的末尾?
  2. 它们由下游应用程序或脚本设置。在这种情况下,您可能必须使用“Header always unset”语法。

仍然最好不要一开始就设置这些,而不是取消设置它们。因此,即使上述解决方案有效,最好找出它们的设置位置并在那里解决您的问题。

于 2015-10-21T21:01:22.100 回答