配置響應頭提高網頁安全性讓跑分達到A+！

Security Headers

配置安全響應頭可以有效地防止客戶端被入侵

檢測網址#

介紹與配置#

HTTP 嚴格傳輸安全(HSTS)#

http 是明文傳輸，完全沒有任何加密，這意味著任何人都可以從傳輸數據中獲取瀏覽器到伺服器間的所有內容。所以 https 使用的 TLS 加密十分值得推崇。然而，除非特殊指定 https，否則每次用域名訪問時，會首先向伺服器發送 http 請求，再由伺服器發送重定向到瀏覽器，接著瀏覽器才會升級為 https。

HSTS 就是解決這一問題的方法。

當瀏覽器接收到 https 站點發送的Strict-Transport-Security頭，瀏覽器便會遵守參數規定的時間執行 https 訪問，當瀏覽器再次訪問該站且未過規定時間時，瀏覽器便不會再發出 HTTP 請求，而是直接轉用 https 連接，這防止了 SSL 剝離等針對尚未升級為 https 連接的攻擊。

e.g.

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

該頭具有三個參數：max-age=63072000、includeSubDomains、preload。

max-age=表明保持 HTTPS 連接的時間，後跟秒數，如max-age=31536000含義為一年內僅使用 https 連接
includeSubDomains表示該域名下所有子域名皆使用 https 訪問

HSTS 很好，但最原始最開始的那次連接始終是 http，如果有個圖謀已久的~~腳本小子~~滲透專家始終盯著一舉一動，那該怎麼辦？

preload參數便是用於解決這一問題。瀏覽器會從Chrome或Firefox預加載列表裡獲取應直接使用 https 連接的站點。該列表可在HSTSpreload主動提交

該列表可用chrome://net-internals/#hsts在本地 Chrome 上查詢和刪改

X-Frame-Options #

建議使用 CSP 參數代替
Content-Security-Policy 响应头有一个 frame-ancestors 参数可以完美替代X-Frame-Options响应头且具有更多特性

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>、<iframe>、<embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免点击劫持攻击。

e.g.

X-Frame-Options: SAMEORIGIN

該頭僅有兩個參數，SAMEORIGIN和DENY。

SAMEORIGIN表明該頁面只允許同源域名展示 frame
DENY表明完全不允許任何 frame

X-Content-Type-Options#

該頭的主要作用是要求客戶端嚴格遵守響應頭Content-Type中規定的文件MIME類型。否則瀏覽器會使用MIME-sniffing猜測返回文件的內容並執行

如果該頭沒有被配置，那麼隱藏在圖片或其他媒體文件中的javascript和css就可能被攻擊者利用來滲透系統

e.g.

X-Content-Type-Options: nosniff

該頭僅有nosniff一個參數來提示客戶端

nosniff將阻止請求與 MIME 類型不符的情況發生。

X-XSS-Protection #

瀏覽器兼容性
目前僅 Safari 瀏覽器仍支持
該頭可被完全配置的 CSP 頭取代

該頭的作用和其名字一樣一目了然，基於瀏覽器防護 XSS 攻擊，因此不屬於任何規範和草案中。

e.g.

X-XSS-Protection: 1; mode=block

該頭有四個參數_{引用自 Mdn}

0 禁止 XSS 過濾。
1 表明啟用 XSS 過濾。如果檢測到跨站腳本攻擊，瀏覽器將清除頁面（刪除不安全的部分）。
1;mode=block 表明啟用 XSS 過濾。如果檢測到攻擊，瀏覽器將不會清除頁面，而是阻止頁面加載。
1; report=<reporting-URI> 僅 chrome 4-77 版本支持。該參數表明啟用 XSS 過濾。如果檢測到跨站腳本攻擊，瀏覽器將清除頁面並使用 CSP report-uri 的功能發送違規報告。