现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本比较低。
Content-Security-Policy
中文名内容安全策略,简称CSP,主要的思想是通过内容来源白名单机制,使浏览器仅渲染或执行来自这些来源的资源。CSP 可能是创建和维护花费时间最多的而且也是最容易出问题的。在配置你的网站 CSP 过程中,要小心彻底地测试它,因为阻止某些资源有可能会破坏你的网站的功能。比如网站的图片上传到了阿里云服务器,然后没有修改对应的CSP,网站的图片就全是破图了。
Content-Security-Policy: default-src 'self'; img-src 'self'; script-src 'self';
style-src 'self';
X-Frame-Options
X-Frame-Options 响应头是用来给浏览器指示允许一个页面可否在iframe等HTML标签中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。
X-Frame-Options: DENY # 表示该页