安全加固

iTop基于PHP，其内容由web-服务器提供。

此页面引用PHP和web-服务器配置将增强iTop安装的安全。

使用https

您应该仅使用https协议来提供页面。

如Wikipedia所述：它可以防止中间人攻击。客户和服务器之间的双向通信加密可防止窃听和篡改通信。

防止会话被盗

尽管从安全角度来看，PHP默认配置非常相关，但它可能是增强：对于这些条目，您应该变更为默认价值：

session.cookie_httponly

为了防止恶意javascript代码嗅探用户的会话，您应该启用session.cookie_httponly（请参阅PHP文档)

您可以在使用session.cookie_httponly = 1的php.ini中执行此操作，也可以在php_flag session.cookie_httponly启用的apache中执行此操作。

session.cookie_secure

如果使用https，则应启用此指令，以便仅通过安全连接发送cookie，请参阅PHP文档.

其他http标头

尽管不像以前的配置那样重要，但是您可以在Web服务器中配置这些http标头，以便添加安全的额外层。由于此页面尽量保持简单，因此此处提到的标题通常可以进行微调以使其更具限制性。

以下示例适用于apache，并且需要mod标头，但所有主流网络服务器均提供了一种配置方法。

严格网络安全


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;" env=HTTPS

这告诉浏览器应仅使用HTTPS而不是HTTP对其进行访问。更多信息

X框架选项


Header always set X-Frame-Options "sameorigin"

这指示是否应允许浏览器在<frame>，<iframe>，<embed>或<对象>中呈现页面。MDN文档.

X内容类型选项


Header always set X-Content-Type-Options "nosniff"

这允许选择不进行MIME类型嗅探（不应更改Content-Type标头中宣传的MIME类型），MDN文档.

内容-安全-策略

这有助于检测和缓解跨站点脚本（XSS）和数据注入攻击。

当心：此标头将阻止任何未经授权的领域，这使正确配置更加困难。 MDN上有一篇很棒的文章：内容安全策略（CSP），您应该参考它以执行正确的配置。

基本的配置可能是

Header set Content-Security-Policy "default-src 'self' www.itophub.io;script-src 'self' www.itophub.io 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: www.itophub.io "

但是，例如，如果您使用Recaptcha或其他代码，则还必须允许“ www.google.com”和“ www.gstatic.com”：

Header set Content-Security-Policy "default-src 'self' www.itophub.io;script-src 'self' www.google.com www.gstatic.com www.itophub.io 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: www.itophub.io "

关于维护正确的配置的困难，我们在下面的示例中不包含此标头，但是如果您对额外的维护感到满意，则可以添加它。

完整的例子

安全加固

iTop基于PHP，其内容由web-服务器提供。

此页面引用PHP和web-服务器配置将增强iTop安装的安全。

使用https

您应该仅使用https协议来提供页面。

如Wikipedia所述：它可以防止中间人攻击。客户和服务器之间的双向通信加密可防止窃听和篡改通信。

防止会话被盗

尽管从安全角度来看，PHP默认配置非常相关，但它可能是增强：对于这些条目，您应该变更为默认价值：

session.cookie_httponly

为了防止恶意javascript代码嗅探用户的会话，您应该启用session.cookie_httponly（请参阅PHP文档)

您可以在使用session.cookie_httponly = 1的php.ini中执行此操作，也可以在php_flag session.cookie_httponly启用的apache中执行此操作。

session.cookie_secure

如果使用https，则应启用此指令，以便仅通过安全连接发送cookie，请参阅PHP文档.

其他http标头

尽管不像以前的配置那样重要，但是您可以在Web服务器中配置这些http标头，以便添加安全的额外层。由于此页面尽量保持简单，因此此处提到的标题通常可以进行微调以使其更具限制性。

以下示例适用于apache，并且需要mod标头，但所有主流网络服务器均提供了一种配置方法。

严格网络安全


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;" env=HTTPS

这告诉浏览器应仅使用HTTPS而不是HTTP对其进行访问。更多信息

X框架选项


Header always set X-Frame-Options "sameorigin"

这指示是否应允许浏览器在<frame>，<iframe>，<embed>或<对象>中呈现页面。MDN文档.

X内容类型选项


Header always set X-Content-Type-Options "nosniff"

这允许选择不进行MIME类型嗅探（不应更改Content-Type标头中宣传的MIME类型），MDN文档.

内容-安全-策略

这有助于检测和缓解跨站点脚本（XSS）和数据注入攻击。

当心：此标头将阻止任何未经授权的领域，这使正确配置更加困难。 MDN上有一篇很棒的文章：内容安全策略（CSP），您应该参考它以执行正确的配置。

基本的配置可能是

Header set Content-Security-Policy "default-src 'self' www.itophub.io;script-src 'self' www.itophub.io 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: www.itophub.io "

但是，例如，如果您使用Recaptcha或其他代码，则还必须允许“ www.google.com”和“ www.gstatic.com”：

Header set Content-Security-Policy "default-src 'self' www.itophub.io;script-src 'self' www.google.com www.gstatic.com www.itophub.io 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: www.itophub.io "

关于维护正确的配置的困难，我们在下面的示例中不包含此标头，但是如果您对额外的维护感到满意，则可以添加它。

完整的例子