你应该具备的 HTTP 安全响应头
几个设置得当的响应头可以阻止常见攻击,并提升你在任何 Web 审计中的评分。
你的 Web 服务器可以发送一些响应头,告诉浏览器如何安全地行事。它们是免费的,而且只需配置一次。
必备项
Strict-Transport-Security(HSTS): 始终强制使用 HTTPS。Content-Security-Policy(CSP): 控制脚本、样式等从何处加载。它是对抗 XSS 最强大的手段(也是最难精细调校的)。X-Content-Type-Options: nosniff: 阻止浏览器"猜测"文件类型。Referrer-Policy: 限制浏览时泄露多少来源信息。X-Frame-Options/ CSP frame-ancestors: 防止你的站点被嵌入 iframe(点击劫持)。
如何检查
像 securityheaders.com 这样的工具能快速给你一个评级。审计 TLS 则用 SSL Labs。先从 HSTS 和 nosniff(简单)入手,把 CSP 留到你能在不破坏站点的前提下进行测试时再处理。
没有哪个响应头能替代安全的代码,但它们是一层值得拥有的廉价防护。
#web#http#安全#响应头