HTTP fejléc (header) beállítások módosítása .htaccess fájl segítségével

Első lépésként ha még nem létezik .htaccess fájl az érintett domain név dokumentum root könyvtárában akkor hozza létre. Ehhez az alábbi leírásban találhat segítséget:

Hogyan hozhatok létre .htaccess fájlt?

Abban az esetben ha a fájl már létezik akkor az alábbi leírások alapján tudja Őket szerkeszteni:

• Fájl létrehozása és módosítása FTP-n keresztül
• Fájl létrehozása és módosítása SSH-n keresztül

Mi az a http fejléc (header)?

A HTTP fejléc (header) része egy HTTP kérésnek illetve válasznak. Ez határozza meg a HTTP tranzakció működési paramétereit. Bővebb információt az alábbi hivatkozáson találhat angol nyelven:

List of HTTP header fields

A .htaccess fájl segítségével megváltoztathatóak, vagy kiegészíthetőek a HTTP válasz fejlécek (header).

Charset header

A .htaccess fájlban az alábbiakat lehet használni az adott tartalomtípusú fejléc kényszerítésére. A karakterkészlet fejléce meghatározza a dokumentum karakterkódolását. Így a fejlécet a metatag használata nélkül adhatja hozzá:

<IfModule mod_headers.c>
    AddDefaultCharset UTF-8   
    AddDefaultCharset ISO-8859-2
</IfModule>

Content-language header

A .htaccess fájlban a következő használatával lehet beállítani egy nyelvi fejlécet. Így a fejlécet a metatag használata nélkül adhatja hozzá:

<IfModule mod_headers.c>
    DefaultLanguage hu-hu
</IfModule>

Cache-Control header

A Cache-Control az egyik leggyakoribb fejléc, amelyet a weboldalaknál használnak. Ez határozza meg azt, hogy mennyi ideig tárolja a fájlt a böngésző

Ha például a Cache-Control headerben 5 percet állít be, akkor a látogató böngészője letölti az oldalt, majd 5 percig gyorsító tárazza azt. 5 perc elteltével az oldalt újra le kell kérni a kiszolgálóról.

Például:

A következő példában beállítjuk, hogy a weboldalt 5 percig tárolhassák látogatók böngészői.

<IfModule mod_headers.c>
    Header set Cache-Control "max-age=300, public"
</IfModule>

Szintaxis

a max-age másodpercben van beállítva.

A gyorsítótárazási irányelv lehet “public”, “private” vagy “no-store”.

‘Vary’ HTTP headerek használata a mobil oldalakhoz

A következő Google által készített cikk (angol nyelvű) leírja a Vary headerek használatát mobil oldalak esetében:

• The Vary HTTP Header

Biztonság

Content-Security-Policy

A Content-Security-Policy header segít csökkenteni az XSS kockázatokat. További részletekért tekintse meg a következő oldalakat:

• https://content-security-policy.com/ (angol nyelven)
• https://www.cert.hu/cross-site-scripting-xss

Strict-Transport-Security (HSTS)

Meghatározza, hogy a böngészők a HTTP helyett csak a HTTPS protokollon keresztül kommunikáljanak. További részletekért tekintse meg az alábbi oldalakat:

• https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security (angol nyelven)
• https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet (angol nyelven)

Engedélyezhető az alábbi tartalommal a .htaccess fájlban:

<IfModule mod_headers.c>
    Header add Strict-Transport-Security "max-age=31415926;includeSubDomains;"
</IfModule>

Tesztelhető az alábbi parancs kiadásával:

curl -I https://example.com

A kimenet a következőképp néz ki:

[server]$ curl -I https://example.com
HTTP/1.1 200 OK
Date: Tue, 05 Jun 2018 20:05:52 GMT
Server: Apache
Last-Modified: Tue, 05 Jun 2018 16:26:52 GMT
ETag: "2f9-56de78493cbc8"
Accept-Ranges: bytes
Content-Length: 761
Strict-Transport-Security: max-age=31415926;includeSubDomains;
Content-Type: text/html

A parancs kimenetében látható a Strict-Transport-Security header