个性化安全标头

从站点启用、添加和删除自定义安全标头和 HSTS。
提醒: 个性化安全标头仅供 Webflow Enterprise 客户端使用。它们是 Enterprise 站点包的一部分。

个性化的安全标头为您任何可公开访问的网站提供了额外的安全保护,并可以阻止跨站点脚本攻击、iframe 嵌入和其他域级安全问题等行为。

在本模块中,您将了解:

  1. 有关 Webflow 认证接头的详细信息
  2. 启用和合并个性化安全标头的说明
  3. 删除个性化安全标头的指南
  4. 激活 HSTS 响应标头的步骤

有关 Webflow 认证接头的详细信息

Webflow 目前认可以下标题:

  • x-xss 保护
  • x-内容类型选项
  • x-frame-选项
  • 引荐来源政策
  • x 允许跨域策略
  • 定时允许来源
  • 内容安全政策
  • 功能策略
  • 期望-ct
  • 严格传输安全(在高级发布选项中启用)

有关每个标头及其结构和浏览器兼容性的详细信息,请访问 MDN 网站 docs.

提醒: Webflow 目前不支持 权限策略 标头。我们建议使用 功能策略 标头。

启用和添加个性化安全标头的说明

启用 网站上的个性化安全标头,请联系 我们的销售团队他们将根据每个站点授予该功能的访问权限,使您能够根据需要在每个站点上附加或修改个性化的安全标头。

要包含个性化的安全标头(在您的网站上启用该功能后):

  1. 使用权 站点设置 > 出版 标签并导航至 自定义标头
  2. 转变 启用自定义站点标题 到 ”是的
  3. 从中选择一个标题 标头 落下
  4. 插入一个值到 价值 场地
  5. 点击 添加标题

请记住,个性化安全标头只有在您重新发布网站后才会生效。要发布您的网站,请滚动到 站点设置 并点击 发布.

提醒: 当前标题无法编辑(必须删除现有标题才能插入新值)。

删除个性化安全标头的说明

要从您的网站删除个性化安全标头:

  1. 导航 站点设置 > 出版 Tab 并滚动到 自定义标头
  2. 点击 ”垃圾”图标

激活 HSTS 响应标头的步骤

HTTP 严格传输安全 (HSTS) 响应标头 也可以访问。要启用严格传输安全,请导航至 站点设置 > 出版 标签> 高级发布选项

有 3 个 HSTS 选项可用,可以切换““ 或者 ”离开”:

  • 启用 HSTS – HSTS 仅在具有自定义域的网站上起作用
  • 使用子域名启用 HSTS – 如果根站点也启用了 HSTS,则只能在子域上激活 HSTS
  • 启用 HSTS 预加载标头 – HSTS Preload 指示浏览器将您的网站添加到预加载列表中。警告:如果任何子域使用 HTTP,并且还启用了“使用子域启用 HSTS”,这可能会导致您的网站无法访问。
提醒: 如果您在查看实时发布的网站时发现缺少图片或资产,请仔细检查标头值的准确性。 价值 字段可能会在已发布的站点上产生问题。

基本的: 出于安全和责任方面的考虑,我们的支持和成功团队无法直接协助您设置或解决与个性化安全标头相关的问题。如果您遇到个性化安全标头方面的问题,请通过 Webflow 论坛,整个 Webflow 社区(包括员工)可以提供额外的帮助和资源。

麦宜云
Ewan Mak 的最新帖子 (查看全部)