Konfigurasi HTTP Security headers untuk Azure Static Web Apps
HTTP Security headers adalah bagian paling penting dari aplikasi web yang membantu melindungi dari berbagai serangan, kemungkinan besar, cross-site scripting, clickjacking, dan serangan skrip lainnya, konfigurasi HTTP Security headers sering dilupakan oleh Developer!
Jadi, saya baru-baru ini memeriksa blog saya di securityheaders.com dan hasilnya menunjukkan bahwa HTTP Security headers tidak dikonfigurasi, jadi saya memutuskan untuk meletakkan beberapa HTTP Security headers untuk Azure Static Web Apps saya.
Rekomendasi HTTP security headers
- Permissions-Policy
- X-Content-Type-Options
- X-Permitted-Cross-Domain-Policies
- X-Frame-Options
- Content-Security-Policy
- Strict-Transport-Security
Konfigurasi HTTP security headers
Anda dapat membuat file json bernama staticwebapp.config.json
di root situs web dan meletakkan konfigurasi seperti di bawah ini lalu deploy ke host Azure Static Web Apps Anda.
staticwebapp.config.json
{
"globalHeaders": {
"Permissions-Policy": "autoplay=()",
"X-Content-Type-Options": "nosniff",
"X-Permitted-Cross-Domain-Policies": "none",
"X-Frame-Options": "SAMEORIGIN",
"content-security-policy": "frame-ancestors 'self'; upgrade-insecure-requests",
"Referrer-Policy":"no-referrer"
}
}
Comments