https://www.keycdn.com/blog/http-security-headers
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
- HTTP安全头通过帮助减轻攻击和安全漏洞提供了另一层安全
- HTTP安全头,它告诉浏览器在处理网站内容时该如何操作
Content-Security-Policy
- Content-Security-Policy通过定义经过批准的内容源,从而允许浏览器加载这些内容源,从而帮助防止诸如跨站点脚本(Cross Site Scripting, XSS)和其他代码注入攻击
X-Content-Type-Options
- 告诉浏览器,有些文件可能不匹配的类型和内容,浏览器是否自动处理
- X-Content-Type-Options阻止浏览器从声明的Content-Type中嗅探响应
X-XSS-Protection
- X-XSS-Protection被设计用来支持内置在浏览器中的跨站点脚本(XSS)过滤器,即当浏览器检测到xss攻击时的行为