如何使用 HTTP 响应头字段来提高 Web 安全性？（如何使用推特）

如何使用 HTTP 响应头字段来提高 Web 安全性？（如何使用推特）

X-Frame-Options

X-Frame-Options: SAMEORIGIN

DENY 禁止显示 frame 内的页面（即使是同一网站内的页面）SAMEORIGIN允许在 frame 内显示来自同一网站的页面，禁止显示来自其他网站的页面ALLOW-FROM origin_uri 允许在 frame 内显示来自指定 uri 的页面（当允许显示来自于指定网站的页面时使用）

X-Content-Type-Options

X-Frame-Options: nosniff

X-XSS-Protection

用于启用浏览器的 XSS 过滤功能，以防止 XSS 跨站脚本攻击。

X-XSS-Protection: 1; mode=block

0 禁用 XSS 过滤功能1 启用 XSS 过滤功能

Content-Security-Policy

之前的字段名为 X-Content-Security-Policy

Content-Security-Policy: default-src 'self'

default-src 'self'：允许读取来自于同源（域名+主机+端口号）的所有内容default-src 'self'*.example.com：允许读取来自于指定域名及其所有子域名的所有内容

X-Permitted-Cross-Domain-Policies

用于指定当不能将"crossdomain.xml"文件（当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件）放置在网站根目录等场合时采取的替代策略。

X-Permitted-Cross-Domain-Policies: master-only

master-only 只允许使用主策略文件（/crossdomain.xml）

Strict-Transport-Security

用于通知浏览器只能使用 HTTPS 协议访问网站。用于将 HTTP 网站重定向到 HTTPS 网站。

Strict-Transport-Security: max-age=31536; includeSubDomains

max-age 用于修改 STS 的默认有效时间。includeSubDomains 用于指定所有子域名同样使用该策略。

Access-Control-Allow-Origin等CORS相关字段

当使用 XMLHttpRequest 从其他域名中获取资源进行跨域通信时使用。

LoadModule headers_module modules/mod_headers.so

然后使用下述方法设定 HTTP 响应头。

Header set HeaderFieldName "value" //例如Header set X-XSS-Protection "1; mode=block”