安全加固

iTop基于PHP，其内容由web-服务器提供。

此页面引用PHP和web-服务器配置将增强iTop安装的安全。

使用https

您应该仅使用https协议来提供页面。

如Wikipedia所述：它可以防止中间人攻击。客户和服务器之间的双向通信加密可防止窃听和篡改通信。

防止会话被盗

尽管从安全角度来看，PHP默认配置非常相关，但它可能是增强：对于这些条目，您应该变更为默认价值：

session.cookie_httponly

为了防止恶意javascript代码嗅探用户的会话，您应该启用session.cookie_httponly（请参阅[ ttp://119.3.189.35:8082/bin/view/2%20%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86/2.5%20%E4%BC%98%E5%8C%96%E8%BF%9B%E9%98%B6/2.5.7%20%E5%AE%89%E5%85%A8%E5%8A%A0%E5%9B%BA/#ini.session.cookie-httponly]PHP文档[/url])

您可以在使用session.cookie_httponly = 1的php.ini中执行此操作，也可以在php_flag session.cookie_httponly启用的apache中执行此操作。

session.cookie_secure

如果使用https，则应启用此指令，以便仅通过安全连接发送cookie，请参阅[ ttp://119.3.189.35:8082/bin/view/2%20%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86/2.5%20%E4%BC%98%E5%8C%96%E8%BF%9B%E9%98%B6/2.5.7%20%E5%AE%89%E5%85%A8%E5%8A%A0%E5%9B%BA/#ini.session.cookie-secure]PHP文档[/url].

其他http标头

尽管不像以前的配置那样重要，但是您可以在Web服务器中配置这些http标头，以便添加安全的额外层。由于此页面尽量保持简单，因此此处提到的标题通常可以进行微调以使其更具限制性。

以下示例适用于apache，并且需要mod标头，但所有主流网络服务器均提供了一种配置方法。

严格网络安全


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;" env=HTTPS

这告诉浏览器应仅使用HTTPS而不是HTTP对其进行访问。[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security]更多信息[/url]

X框架选项


Header always set X-Frame-Options "sameorigin"

这指示是否应允许浏览器在<frame>，<iframe>，<embed>或<对象>中呈现页面。[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options]MDN文档[/url].

X内容类型选项


Header always set X-Content-Type-Options "nosniff"

这允许选择不进行MIME类型嗅探（不应更改Content-Type标头中宣传的MIME类型），[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options]MDN文档[/url].

内容-安全-策略

这有助于检测和缓解跨站点脚本（XSS）和数据注入攻击。

当心：此标头将阻止任何未经授权的领域，这使正确配置更加困难。 MDN上有一篇很棒的文章：[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/CSP]内容安全策略（CSP）[/url]，您应该参考它以执行正确的配置。

基本的配置可能是

Header set Content-Security-Policy "default-src 'self' [ ttp://www.itophub.io]www.itophub.io[/url];script-src 'self' [ ttp://www.itophub.io]www.itophub.io[/url] 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: [ ttp://www.itophub.io]www.itophub.io[/url] "

但是，例如，如果您使用Recaptcha或其他代码，则还必须允许“ [ ttp://www.google.com]www.google.com[/url]”和“ [ ttp://www.gstatic.com]www.gstatic.com[/url]”：

Header set Content-Security-Policy "default-src 'self' [ ttp://www.itophub.io]www.itophub.io[/url];script-src 'self' [ ttp://www.google.com]www.google.com[/url] [ ttp://www.gstatic.com]www.gstatic.com[/url] [ ttp://www.itophub.io]www.itophub.io[/url] 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: [ ttp://www.itophub.io]www.itophub.io[/url] "

关于维护正确的配置的困难，我们在下面的示例中不包含此标头，但是如果您对额外的维护感到满意，则可以添加它。

完整的例子

安全加固

iTop基于PHP，其内容由web-服务器提供。

此页面引用PHP和web-服务器配置将增强iTop安装的安全。

使用https

您应该仅使用https协议来提供页面。

如Wikipedia所述：它可以防止中间人攻击。客户和服务器之间的双向通信加密可防止窃听和篡改通信。

防止会话被盗

尽管从安全角度来看，PHP默认配置非常相关，但它可能是增强：对于这些条目，您应该变更为默认价值：

session.cookie_httponly

为了防止恶意javascript代码嗅探用户的会话，您应该启用session.cookie_httponly（请参阅[ ttp://119.3.189.35:8082/bin/view/2%20%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86/2.5%20%E4%BC%98%E5%8C%96%E8%BF%9B%E9%98%B6/2.5.7%20%E5%AE%89%E5%85%A8%E5%8A%A0%E5%9B%BA/#ini.session.cookie-httponly]PHP文档[/url])

您可以在使用session.cookie_httponly = 1的php.ini中执行此操作，也可以在php_flag session.cookie_httponly启用的apache中执行此操作。

session.cookie_secure

如果使用https，则应启用此指令，以便仅通过安全连接发送cookie，请参阅[ ttp://119.3.189.35:8082/bin/view/2%20%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86/2.5%20%E4%BC%98%E5%8C%96%E8%BF%9B%E9%98%B6/2.5.7%20%E5%AE%89%E5%85%A8%E5%8A%A0%E5%9B%BA/#ini.session.cookie-secure]PHP文档[/url].

其他http标头

尽管不像以前的配置那样重要，但是您可以在Web服务器中配置这些http标头，以便添加安全的额外层。由于此页面尽量保持简单，因此此处提到的标题通常可以进行微调以使其更具限制性。

以下示例适用于apache，并且需要mod标头，但所有主流网络服务器均提供了一种配置方法。

严格网络安全


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;" env=HTTPS

这告诉浏览器应仅使用HTTPS而不是HTTP对其进行访问。[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security]更多信息[/url]

X框架选项


Header always set X-Frame-Options "sameorigin"

这指示是否应允许浏览器在<frame>，<iframe>，<embed>或<对象>中呈现页面。[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options]MDN文档[/url].

X内容类型选项


Header always set X-Content-Type-Options "nosniff"

这允许选择不进行MIME类型嗅探（不应更改Content-Type标头中宣传的MIME类型），[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options]MDN文档[/url].

内容-安全-策略

这有助于检测和缓解跨站点脚本（XSS）和数据注入攻击。

当心：此标头将阻止任何未经授权的领域，这使正确配置更加困难。 MDN上有一篇很棒的文章：[ ttps://developer.mozilla.org/en-US/docs/Web/HTTP/CSP]内容安全策略（CSP）[/url]，您应该参考它以执行正确的配置。

基本的配置可能是

Header set Content-Security-Policy "default-src 'self' [ ttp://www.itophub.io]www.itophub.io[/url];script-src 'self' [ ttp://www.itophub.io]www.itophub.io[/url] 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: [ ttp://www.itophub.io]www.itophub.io[/url] "

但是，例如，如果您使用Recaptcha或其他代码，则还必须允许“ [ ttp://www.google.com]www.google.com[/url]”和“ [ ttp://www.gstatic.com]www.gstatic.com[/url]”：

Header set Content-Security-Policy "default-src 'self' [ ttp://www.itophub.io]www.itophub.io[/url];script-src 'self' [ ttp://www.google.com]www.google.com[/url] [ ttp://www.gstatic.com]www.gstatic.com[/url] [ ttp://www.itophub.io]www.itophub.io[/url] 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: [ ttp://www.itophub.io]www.itophub.io[/url] "

关于维护正确的配置的困难，我们在下面的示例中不包含此标头，但是如果您对额外的维护感到满意，则可以添加它。

完整的例子