安全头（Security Headers）是在 HTTP 响应头中的一个或多个字段，用于向浏览器传达有关网站安全策略的信息。

它们可以帮助保护网站免受常见的安全威胁，例如跨站脚本攻击（XSS）、跨站请求伪造（CSRF）和点击劫持等。以下是一些常用的安全头及其作用：

1. Content-Security-Policy (CSP)：指定哪些内容可以加载到网页中，以防止 XSS 攻击。通过限制允许加载的内容源和类型，CSP 可以减少恶意脚本的运行。
2. X-Frame-Options：用于防止点击劫持攻击。它指示浏览器是否允许网页在<iframe>或<frame>标签中显示，从而防止攻击者将你的网页置于一个透明的 iframe 中，诱导用户点击。
3. X-XSS-Protection：启用浏览器内置的跨站脚本攻击(XSS)过滤器。该头部可防止 XSS 攻击，例如恶意脚本注入。
4. X-Content-Type-Options：用于防止 MIME 类型的欺骗攻击。它建议浏览器始终尊重 Content-Type 标头，并避免尝试猜测响应内容类型。
5. Strict-Transport-Security (HSTS)：指示浏览器始终通过 HTTPS 与网站建立安全连接，防止中间人攻击和 SSL/TLS 剥离攻击。
6. Referrer-Policy：控制请求头中的 Referrer 字段，可以限制对网站的来源信息泄露，防止 Referrer 劫持攻击。

这些安全头可以通过在 HTTP 响应头中设置相应的字段来启用。使用这些安全头有助于提高网站的安全性和防御能力，并减少常见的安全风险。

更新日志

2025/8/24 08:17

查看所有更新日志

• e7112-1于 2025/8/24