Ada beberapa alasan mengapa Anda mungkin ingin menambahkan tajuk khusus di situs web Anda, namun alasan paling umum saat ini adalah menambahkan tajuk keamanan apache atau nginx. Banyak dari tajuk ini tidak dapat diterapkan sebelumnya secara global karena akan secara langsung memengaruhi fungsi beberapa situs yang bergantung pada fungsi yang akan dibatasi oleh tajuk ini, sehingga menerapkannya per situs adalah cara terbaik dan satu-satunya untuk menambahkannya.
Berikut beberapa alasan lain mengapa Anda mungkin ingin menambahkan tajuk khusus:
- Panduan aplikasi web memberi tahu Anda untuk mengubah atau menambahkan header HTTP/HTTPS ke konfigurasi server web Anda
- Anda ingin menambahkan salah satu jenis header berikut:Vary, CORS, Cache-Control, X-Frame-Options, dll
TIPS :dokumen dukungan Plesk tentang penambahan header CORS menunjukkan untuk menambahkan header ini ke bidang yang tidak Anda lihat di Plesk, karena hanya admin yang memiliki akses untuk mengedit bidang "Petunjuk tambahan". Langkah-langkah di bawah ini akan mengatasi masalah ini.
Untungnya Plesk memiliki fitur yang memudahkan ini! Berikut cara melakukannya:
- Mulailah dengan masuk ke Plesk
- Temukan domain Anda dalam daftar dan klik untuk mengedit konfigurasinya, atau arahkan fokus Anda ke petak opsi konfigurasi tombol. Jika opsi Anda bertab, klik tab “Hosting &DNS”
- Pilih tombol bernama “Pengaturan Apache &nginx”
- Di bawah Pengaturan Apache Umum Anda akan menemukan Header tambahan . Pilih "Masukkan nilai khusus" dan masukkan tajuk Anda di sini. Perhatikan bahwa meskipun judul bagian ini menyertakan "Apache", sebagian besar (jika tidak semua) item di sini akan berlaku untuk nginx kecuali jika dinonaktifkan. Contoh format/sintaksis yang digunakan disediakan di bawah kotak entri teks.
- Format yang digunakan di sini adalah
Header: Value - Setelah selesai, gulir ke bawah dan klik Oke.
Header keamanan umum untuk digunakan
Berikut ini adalah kumpulan header keamanan yang bagus untuk diterapkan ke situs Anda, meskipun sangat disarankan untuk mencari cara menyetel Content-Security-Policy karena nilai yang benar akan sangat bergantung pada konten situs Anda.
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self'; img-src 'self' https://secure.gravatar.com https://www.facebook.com https://i.ytimg.com
Header ini mencegah situs lain melakukan hal berbahaya dengan situs Anda. Misalnya X-Frame-Options menentukan bahwa hanya situs/aplikasi yang berjalan di domain Anda sendiri yang dapat menempatkan situs Anda dalam bingkai/iframe.
Peringatan: Anda mungkin tidak ingin menggunakan Content-Security-Policy jika Anda menggunakan WordPress dan secara teratur menambahkan fungsionalitas baru. Sasaran tajuk ini adalah untuk memastikan bahwa hanya sumber yang ditentukan dalam daftar yang diizinkan menyediakan file untuk situs web Anda . Jika Anda menyetel tajuk ini lalu menambahkan fungsionalitas ke situs yang bergantung pada sumber daya (gambar, javascript, lembar gaya) yang tidak termasuk dalam daftar itu, fungsionalitas tersebut kemungkinan akan gagal berfungsi hingga Anda menambahkannya. Karena itu, Anda dapat menggunakan panduan kami untuk menggunakan pemeriksa web browser dan tab konsolnya untuk membantu mendiagnosis masalah tersebut dan memperbarui header CSP Anda karena kesalahan yang berkaitan dengan hal ini akan dilaporkan di sana.