Laravel安全頭信息設置

在Laravel中，設置安全頭信息（也稱為CSP - Content Security Policy）是一種很好的做法，可以防止跨站腳本攻擊（XSS）和其他代碼注入攻擊。要在Laravel中設置安全頭信息，請按照以下步驟操作：

1. 打開.env文件，這是Laravel項目的環境變量配置文件。

2. 在.env文件中，找到或添加以下行：

APP_SECURITY_HEADER=Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com; style-src 'self' https://trustedstyles.example.com; img-src 'self' data:; font-src 'self' data:; connect-src 'self' https://trustedapi.example.com;

這里的APP_SECURITY_HEADER值是一個CSP策略，它定義了哪些內容源是可信的。你可以根據需要修改這些值。例如，如果你不想允許外部腳本，可以將script-src設置為'self'。

3. 保存.env文件。

4. 打開app/Http/Kernel.php文件，這是Laravel的HTTP內核配置文件。

5. 在app/Http/Kernel.php文件中，找到middlewareGroups數組中的web數組。

6. 在web數組中，添加以下代碼：

\App\Http\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Session\Middleware\StartSession::class,
\Illuminate\View\Middleware\ShareErrorsFromSession::class,
\App\Http\Middleware\VerifyCsrfToken::class,
\Illuminate\Routing\Middleware\SubstituteBindings::class,
\Illuminate\Foundation\Http\Middleware\SetSecurityHeaders::class, // 添加這一行

這里我們添加了\App\Http\Middleware\SetSecurityHeaders::class，它會應用我們在.env文件中定義的CSP策略。

7. 保存app/Http/Kernel.php文件。

現在，Laravel應用程序將自動設置安全頭信息。你可以在瀏覽器的開發者工具中查看這些頭信息，以確保它們已正確應用。