//设置为:只能同域名同端口可以访问资源
response.setHeader("Content-Security-Policy","script-src 'self'");
//被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。
response.setHeader("X-Content-Type-Options","nosniff");
//0(禁用XSS过滤器/审核员)
// 1(删除不安全的部分;如果没有X-XSS-Protection标题,这是默认设置)
// 1; mode = block(如果找到XSS,则不要渲染文档)
response.setHeader("X-XSS-Protection","1;mode = block");
各个相应头的作用
最新推荐文章于 2022-03-24 14:48:00 发布