我目前正在实施内容安全策略。但我的 apache 拒绝接受配置设置。
我目前使用的apache2版本是:2.2.22和2.4.7。这些 apache2 版本似乎都不起作用。
我的配置设置是:
Header always set Content-Security-Policy: frame-src 'self' *.google.de google.de *.google.com google.com;
Header always set Content-Security-Policy-Report-Only: default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; report-uri https://www.myhostname.com/report/report.php;
Header always set X-Content-Security-Policy: frame-src 'self' google.de google.com;
我在其中任一设置上收到以下错误消息。如果我注释掉一行,错误就会更改为以下行:
Output of config test was:
AH00526: Syntax error on line 7 of /etc/apache2/conf-enabled/security.conf:
Header has too many arguments
Action 'configtest' failed.
我尝试了所有可能的设置组合,但出现了相同的错误消息。所以我开始相信,我的 apache 不支持这些标头?但我在网上没有找到任何关于这个问题的信息。
或者我只是错过了一些重要的东西?我还从其他页面复制了各种示例,它们产生了相同的错误。
标头总体工作正常。我还设置了几个其他标题,它们工作得很好:
Header always set X-Content-Type-Options nosniff
Header always set X-XSS-Protection "1; mode=block"
Header …