web程序请求头安全加固
1、开启HSTS
强制使用HTTPS协议,屏蔽不安全连接
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;2、内容安全策略CSP
屏蔽XSS攻击、数据注入攻击
add_header Content-Security-Policy "default-src 'self';" always;3、X-Frame-Options
阻止点击劫持、嵌入iframe
add_header X-Frame-Options "SAMEORIGIN" always;4、X-Content-Type-Options
组织浏览器被不同MEME类似的文件打断
add_header X-Content-Type-Options "nosniff" always;5、引用策略
控制引用策略,保护用户隐私
add_header Referrer-Policy "no-referrer-when-downgrade" always;6、权限控制
添加权限控制限制浏览器访问位置、摄像头、麦克风及其他
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;
文章评论