Strict-Transport-Security
Strict-Transport-Security 是一个安全相关的 HTTP 响应头,它可以让网站要求浏览器只通过 HTTPS 访问它,以防止中间人攻击。它的值是一个时间,单位是秒。例如:
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
X-Frame-Options 是一个安全相关的 HTTP 响应头,它可以用来控制网站在 iframe 中的显示情况。它有三个值:
- DENY:表示页面不允许在 iframe 中显示
- SAMEORIGIN:表示页面可以在相同域名下的 iframe 中显示
- ALLOW-FROM uri:表示页面可以在指定来源的 iframe 中显示
X-XSS-Protection
X-XSS-Protection 是一个安全相关的 HTTP 响应头,它可以用来控制浏览器的 XSS 防护机制。它有三个值:
- 0:表示关闭浏览器的 XSS 防护机制
- 1:表示开启浏览器的 XSS 防护机制,如果检测到 XSS 攻击,尝试清除不安全的部分,然后加载页面
- 1; mode=block:表示开启浏览器的 XSS 防护机制,并且如果检测到 XSS 攻击,浏览器会停止加载页面
X-Content-Type-Options
X-Content-Type-Options 是一个安全相关的 HTTP 响应头,它可以用来控制浏览器的 MIME 类型嗅探行为。它有一个值:
- nosniff:表示浏览器不会执行 MIME 类型嗅探,即使服务器返回的 MIME 类型是错误的,浏览器也不会改变它
Content-Security-Policy
TODO