摘要:作用禁用瀏覽器的猜測行為����。不允許的情況下,瀏覽器會模擬一個狀態(tài)為的響應(yīng)?���?赡軙孤┟舾行畔⒆饔梅乐怪虚g人攻擊。是網(wǎng)站防止攻擊者利用錯誤簽發(fā)的證書進(jìn)行中間人攻擊的一種安全機制����,用于預(yù)防遭入侵或者其他會造成簽發(fā)未授權(quán)證書的情況。
1.Strict-Transport-Security
HTTP Strict-Transport-Security���,簡稱為HSTS��。
作用:允許一個HTTPS網(wǎng)站��,要求瀏覽器總是通過HTTPS訪問它�����。
strict-transport-security: max-age=16070400; includeSubDomains
- includeSubDomains���,可選,用于指定是否作用于子域名
- 支持HSTS的瀏覽器遇到這個響應(yīng)頭����,會把當(dāng)前網(wǎng)站加入HSTS列表�,然后在max-age指定的秒數(shù)內(nèi)����,當(dāng)前網(wǎng)站所有請求都會被瀏覽器重定向為https。
- Chrome內(nèi)置了一個HSTS列表���,默認(rèn)包含Google����、Paypal�、Twitter��、Linode等服務(wù)���。輸入chrome://net-internals/#hsts�,進(jìn)入HSTS管理界面���,可以增加/刪除/查詢HSTS記錄���。
2.X-Frame-Options:是否允許一個頁面可在、
