Strict-Transport-Security
强制执行安全 HTTPS 协议,可以有效地阻止中间人攻击。
Header 例子
Strict-Transport-Security: max-age=16070400; includeSubDomains
X-Frame-Options
提供点击劫持保护
值
deny – 完全禁止 iframe
sameorigin – 不渲染如果起源不匹配(如果你的网站是 example.com,就只能 example.com 能 iframe;example.org
如果想 iframe 你的网站就游览器就不会渲染 example.com)
allow-from: DOMAIN – DOMAIN 可以通过 iframe 渲染网站
例子:
X-Frame-Options: deny
X-XSS-Protection
这个 header 开启最新的 Web 浏览器内置的跨站点脚本攻击(XSS)筛选器。
例子:
X-XSS-Protection: 1; mode=block
X-Content-Type-Options
只有一个值,“nosniff”,防止 IE 浏览器和谷歌 Chrome 浏览器的 MIME嗅探已声明的内容类型。
注意:如果要用户自动安装一个扩展名,一定不能使用这个 header。
例子:
X-Content-Type-Options: nosniff
Content Security Policy
内容安全策略需要政策的悉心调教和精确的定义。如果启用,CSP 对浏览器会影响网页的渲染(例如,默认情况下嵌入式的 JavaScript 被禁用,必须在 CSP header 明确允许)。 CSP 可以防止各种攻击,包括跨站点脚本和其他跨站点注射。
例子:
Content-Security-Policy: default-src 'self'
via owasp
免费工具:检查网站 header(英文。检查结果后,有建议提示。)
扩展阅读:nginx 配置文件