配置响应头提高网页安全性让跑分达到A+！

Security Headers

配置安全响应头可以有效地防止客户端被入侵

检测网址#

介绍与配置#

HTTP 严格传输安全(HSTS)#

http 是明文传输，完全没有任何加密，这意味着任何人都可以从传输数据中获取浏览器到服务器间的所有内容。所以 https 使用的 TLS 加密十分值得推崇。然而，除非特殊指定 https，否则每次用域名访问时，都会首先向服务器发送 http 请求，再由服务器发送重定向到浏览器，接着浏览器才会升级为 https。

HSTS 就是解决这一问题的方法。

当浏览器接收到 https 站点发送的Strict-Transport-Security头，浏览器便会遵守参数规定的时间执行 https 访问，当浏览器再次访问该站且未过规定时间时，浏览器便不会再发出 HTTP 请求，而是直接转用 https 连接，这防止了 SSL 剥离等针对尚未升级为 https 连接的攻击。

e.g.

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

该头具有三个参数：max-age=63072000、includeSubDomains、preload。

max-age=表明保持 HTTPS 连接的时间，后跟秒数，如max-age=31536000含义为一年内仅使用 https 连接
includeSubDomains表示该域名下所有子域名皆使用 https 访问

HSTS 很好，但最原始最开始的那次连接始终是 http，如果有个图谋已久的~~脚本小子~~渗透专家始终盯着一举一动，那该怎么办？

preload参数便是用于解决这一问题。浏览器会从Chrome或Firefox预加载列表里获取应直接使用 https 连接的站点。该列表可在HSTSpreload主动提交

该列表可用chrome://net-internals/#hsts在本地 Chrome 上查询和删改

X-Frame-Options #

建议使用 CSP 参数代替
Content-Security-Policy 响应头有一个 frame-ancestors 参数可以完美替代X-Frame-Options响应头且具有更多特性

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe>、<embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免点击劫持攻击。

e.g.

X-Frame-Options: SAMEORIGIN

该头仅有两个参数，SAMEORIGIN和DENY。

SAMEORIGIN表明该页面只允许同源域名展示 frame
DENY表明完全不允许任何 frame

X-Content-Type-Options#

该头的主要作用是要求客户端严格遵守响应头Content-Type中规定的文件MIME类型。否则浏览器会使用MIME-sniffing猜测返回文件的内容并执行

如果该头没有被配置，那么隐藏在图片或其他媒体文件中的javascript和css就可能被攻击者利用来渗透系统

e.g.

X-Content-Type-Options: nosniff

该头仅有nosniff一个参数来提示客户端

nosniff将阻止请求与 MIME 类型不符的情况发生。

X-XSS-Protection #

浏览器兼容性
目前仅 Safari 浏览器仍支持
该头可被完全配置的 CSP 头取代

该头的作用和其名字一样一目了然，基于浏览器防护 XSS 攻击，因此不属于任何规范和草案中。

e.g.

X-XSS-Protection: 1; mode=block

该头有四个参数_{引用自 Mdn}

0 禁止 XSS 过滤。
1 表明启用 XSS 过滤。如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。
1;mode=block 表明启用 XSS 过滤。如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。
1; report=<reporting-URI> 仅 chrome 4-77 版本支持。该参数表明启用 XSS 过滤。如果检测到跨站脚本攻击，浏览器将清除页面并使用 CSP report-uri 的功能发送违规报告。