HTTP安全头配置

必备安全响应头

响应头防护优先级
Content-Security-PolicyXSS, 数据注入
Strict-Transport-SecurityHTTP降级、中间人攻击
X-Frame-Options点击劫持
X-Content-Type-OptionsMIME类型嗅探
Referrer-PolicyReferrer信息泄露
Permissions-Policy浏览器功能滥用
Cross-Origin-Opener-PolicySpectre, XS-Leaks

Nginx配置示例

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(self)" always;
add_header Cross-Origin-Opener-Policy "same-origin" always;

# Content Security Policy (customize for your site)
add_header Content-Security-Policy "
  default-src 'self';
  script-src 'self' 'nonce-RANDOM' https://cdn.trusted.com;
  style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
  font-src 'self' https://fonts.gstatic.com;
  img-src 'self' data: https:;
  connect-src 'self' https://api.example.com;
  frame-ancestors 'none';
  base-uri 'self';
  form-action 'self';
" always;

CSP指令参考

指令控制常用值
default-src所有资源回退'self'
script-srcJavaScript'self' 'nonce-xxx'
style-srcCSS'self' 'unsafe-inline'
img-src图片'self' data: https:
connect-srcfetch/XHR/WebSocket'self' https://api.com
frame-ancestors谁可嵌入'none' or 'self'

相关工具推荐

🔒 SSL 证书检查 检查网站 SSL 证书状态与有效期 🧮 密码熵计算 计算密码的信息熵和破解难度 🛡 XSS 参考 XSS 测试载荷与防御方案参考 🗃 SQL 注入参考 SQL 注入测试与防御参考手册 🛡 CSP 生成 生成 Content Security Policy 策略 🔑 OAuth 构建 构建 OAuth 2.0 授权请求参数 🔍 敏感信息检测 检测文本中的密钥、密码等敏感信息 🔒 哈希算法参考 常见哈希算法速查与安全性参考 🔐 SSL/TLS 参考 SSL/TLS 协议版本与密码套件参考 🎫 JWT 最佳实践 JWT 安全使用指南与常见错误 🌐 CORS 安全指南 CORS 跨域配置安全最佳实践 限流模式参考 令牌桶、滑动窗口等限流算法参考