后端response Header正确设置
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-XSS-Protection:1; mode=block
Strict-Transport-Security:max-age = 16070400; 请注意,当您设置此标头时,您需要在端口443上运行的Web服务器
X-Frame-Options:DENY 指定网页是否可以以<frame>形式嵌入到其他网站,避免点击劫持攻击
X-XSS-Protection: 1; mode=block xss攻击防护报头开关,启动 XSS 过滤。如检测到攻击,浏览器将阻止页面呈现,不过滤页面中的XSS内容
Content Security Policy CSP网页安全政策,CSP 是白名单制度,开发者告诉浏览器哪些外部资源可加载和执行
两种方法启用 CSP。一种通过 HTTP 头Content-Security-Policy字段,另一种通过网页<meta>标签
Content Security Policy: script-src 'self' 'unsafe-inline'
script-src 'self' 外部脚本来源开关,允许同源内容
unsafe-inline 允许行内资源行内 JS 和 CSS 、style 属性、onclick 属性等
Strict-Transport-Security
Access-Control-Allow-Origin 跨域资源共享, * 表示允许读取所有域的资源,用户可配置其他域名
Secure:true cookie只通过https传递。
HttpOnly:true cookie无法通过js api获取。
X-Forwarded-For(XFF)用于记录客户端ip或http流经设备ip, 服务器访问日志上一级IP(可能是代理)。要看客户端原始 IP ,请设置X-Forwarded-For报头
X-Forwarded-Host(XFH)
X-Content-Type-Options: nosniff 禁用浏览器的内容嗅探机制
Content-Disposition: attachment[;filename="文件名"] 将数据体设定为附件,浏览器碰到此响应头不直接解析显示内容,而是显示下载对话框
Cookies 是服务器发送给用户浏览器的一小部分数据,浏览器可存储它,可将下次请求发给同一台服务器,通常用于判断两个请求是否来自同一浏览器 - 例如,保持登录(会话管理)。它记住无状态HTTP协议的有状态信息。
Cookies应用场景:保持登录(会话管理),购物车,游戏成绩、记录用户偏好,主题和其他设置跟踪记录、分析用户行为
创建cookie,当收到请求,服务器发送Set-Cookie包含响应的头部即可,可指定过期日期或持续时间,之后不再发送cookie。此外可设置对特定域和路径限制cookie发送位置。
