- HTTP安全头通过帮助减轻攻击和安全漏洞提供了另一层安全
- HTTP安全头,它告诉浏览器在处理网站内容时该如何操作
Content-Security-Policy
- Content-Security-Policy通过定义经过批准的内容源,从而允许浏览器加载这些内容源,从而帮助防止诸如跨站点脚本(Cross Site Scripting, XSS)和其他代码注入攻击
X-XSS-Protection
- X-XSS-Protection被设计用来支持内置在浏览器中的跨站点脚本(XSS)过滤器,即当浏览器检测到xss攻击时的行为
add_header X-XSS-Protection "1; mode=block" always;
header always set X-XSS-Protection "1; mode=block"
Strict Transport Security
- Strict-Transport-Security限制浏览器只能通过HTTPS访问服务器。这确保了连接不能通过不安全的HTTP连接建立,而不安全的HTTP连接容易受到攻击
X-Frame-Options
- X-Frame-Options提供了点击劫持保护,不允许在你的网站上加载iframes
add_header X-Frame-Options "SAMEORIGIN" always;
header always set X-Frame-Options "SAMEORIGIN"
Expect-CT
- Expect-CT允许网站报告并选择性地强制执行证书透明度要求,从而防止使用错误颁发的证书。当启用此头部时,网站请求浏览器验证证书是否出现在公共CT日志中。
X-Content-Type-Options
- X-Content-Type-Options阻止浏览器从声明的Content-Type中嗅探响应
Feature-Policy
- Feature-Policy授予允许或拒绝浏览器特性的能力,无论是在它自己的框架中还是在一个内联框架元
