HTTP 安全响应头
HTTP 安全响应头 是什么?
HTTP 安全响应头指示浏览器执行强制 HTTPS、限制嵌入、内容策略和引用来源等防御行为的响应头集合。
HTTP 安全响应头是一种成本低、收益高的网页加固方式,可借助浏览器内置防护能力。核心包括 Strict-Transport-Security(HSTS)、Content-Security-Policy(CSP)、X-Content-Type-Options: nosniff、X-Frame-Options 或 frame-ancestors、Referrer-Policy、Permissions-Policy、Cross-Origin-Opener-Policy 与 Cross-Origin-Resource-Policy。每个响应头分别缓解一类攻击:协议降级、MIME 嗅探、点击劫持、引用来源泄露、对浏览器特性的滥用、跨源隔离问题。它们应在每个响应(包括错误页和 API 接口)中下发,使用 securityheaders.com 或 Mozilla Observatory 等工具验证,并作为配置基线的一部分进行管理。
● 示例
- 01
「Strict-Transport-Security: max-age=63072000; includeSubDomains; preload」用于强制仅 HTTPS 访问。
- 02
在内部管理接口设置「Referrer-Policy: no-referrer」,防止把 URL 泄露给第三方。
● 常见问题
HTTP 安全响应头 是什么?
指示浏览器执行强制 HTTPS、限制嵌入、内容策略和引用来源等防御行为的响应头集合。 它属于网络安全的 应用安全 分类。
HTTP 安全响应头 是什么意思?
指示浏览器执行强制 HTTPS、限制嵌入、内容策略和引用来源等防御行为的响应头集合。
如何防御 HTTP 安全响应头?
针对 HTTP 安全响应头 的防御通常结合技术控制与运营实践,详见上方完整定义。
HTTP 安全响应头 还有哪些其他名称?
常见的别称包括: 安全响应头。