今天分享一篇關於Http headers帶來的安全影響,沒有用到的就應該關閉或刪除,過多的http headers是不好的。
原文出處:https://veggiespam.com/headers/
波波觀點:HTTP Header 要少而清楚
HTTP Header 會透露網站技術棧、快取策略、安全政策與瀏覽器行為。不是所有 header 都有問題,但不必要的版本資訊、框架標記或錯誤快取設定,可能讓攻擊者更快判斷目標環境。對 WordPress 站台來說,重點是降低資訊洩漏,同時保留安全與快取需要的 header。
建議檢查的項目
- 資訊洩漏:`Server`、`X-Powered-By`、框架版本、除錯 header。
- 內容安全:`X-Content-Type-Options`、`Content-Security-Policy`、`Referrer-Policy`。
- HTTPS:`Strict-Transport-Security`、HTTP 轉 HTTPS、混合內容處理。
- 快取:登入頁與後台不可被 CDN 快取,公開文章可以快取。
實務建議
安全 header 不是越多越好,而是要符合網站行為。像 WordPress 後台、登入頁、預覽頁與 REST API 應排除快取;公開文章頁則可以交給 Cloudflare 與 Nginx 快取。每次調整後都要用 `curl -I` 驗證,確認安全 header 和快取 header 沒有互相衝突。












