Upgrade-Insecure-Requests 是一个指令,可以通过 配置 Apache 服务器设置在网站的 HTTP 头中。它指示浏览器将所有不安全的 HTTP 请求升级为安全的 HTTPS。这对于保护您的站点及其用户免受中间人攻击特别有用。
Step 1: 开启 Headers 模块
Apache 需要 headers 模块来修改 HTTP 报头,包括设置 Upgrade-Insecure-Requests 指令。
开启 headers 模块
sudo a2enmod headers
重启 Apache 服务器
sudo systemctl restart apache2
Step 2: 编辑 Apache 配置
找到您的 Apache VirtualHost 配置文件,它通常在 /etc/apache2/stites-abailable/ 或 /etc/etc/httpd/conf.d/ 目录中。
编辑站点配置文件,假设站点为 your-site.conf
sudo nano /etc/apache2/sites-available/your-site.conf
Step 3: 添加指令
在配置文件的 VirtualHost 块中,添加以下行:
Header always set Content-Security-Policy "upgrade-insecure-requests"
下面是站点配置的一个示例
<VirtualHost *:80>
ServerName www.example.com
# ... other configurations ...
Header always set Content-Security-Policy "upgrade-insecure-requests"
</VirtualHost>
Step 4: 重启 Apache 服务
保存更改后,重新启动 Apache 以应用新配置
sudo systemctl restart apache2
Step 5: 浏览器测试
(1) 通过浏览器访问站点
(2) 右键单击页面,选择 Inspect 或 Inspect Element,打开开发人员工具。
(3) 转到 Network 选项卡并重新加载页面。
(4) 单击任一请求,并在响应标头部分中查找 Content-Security-Policy 报头。
