WordPress配置安全策略抵御跨站脚本攻击

在主题的 functions.php 文件中添加 CSP

如果您想避免使用插件，也可以将 CSP 头直接添加到 WordPress 主题的 functions.php 文件中：

1. 打开 WordPress 管理后台，进入 外观 > 主题文件编辑器。
2. 在右侧找到并点击 functions.php。
3. 在文件末尾添加以下代码：
   php

   function add_csp_header() {
header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'self'; report-uri /csp-report-endpoint");
}
add_action('send_headers', 'add_csp_header');
   • 这样，每次加载页面时 WordPress 都会添加 CSP 头。
   • 如果有多种安全需求，可以根据实际情况调整 CSP 规则。