HTTP安全响应头详解
少数几个响应头会告诉浏览器如何采取防御性行为。它们添加成本低,却能阻断整类攻击。
核心项
| 响应头 | 推荐值 | 阻止 |
|---|---|---|
Strict-Transport-Security |
max-age=63072000; includeSubDomains |
SSL剥离/降级 |
Content-Security-Policy |
量身定制的白名单 | XSS、注入 |
X-Content-Type-Options |
nosniff |
MIME嗅探 |
X-Frame-Options |
SAMEORIGIN |
点击劫持 |
Referrer-Policy |
strict-origin-when-cross-origin |
来源泄露 |
Permissions-Policy |
禁用未使用的功能 | API滥用 |
容易踩坑之处
- HSTS仅在HTTPS下生效。 在HTTP响应上设置毫无作用——在站点以TLS提供之前浏览器会忽略它。请与正确的 TLS版本 一起配置。
- CSP最强大也最容易出错。 先用
Content-Security-Policy-Report-Only推出,观察报告后再强制。现代CSP正逐步用frame-ancestors取代X-Frame-Options。 - 信任顺序: 响应头是加固,而非对不安全代码的修复。
检查你的站点
将URL输入本站的 HTTP安全响应头检测,即可看到哪些响应头已设置、哪些缺失,以及每项的简短修复建议。随后用 SSL/TLS检测 确认证书本身。
备注: 在边缘(反向代理/CDN)设置,使其后的所有应用一致地继承这些响应头。