网站必备拿五大HTTP安全标头？

使用租借服务器搭建网站，除了服务器的基本安全策略外，网站的安全也要注意。HTTP安全Header是网站安全的基础部分。协议头中的这些组件用于超文本传输协议(HypertextTransferProtocol,HTTP)的请求和响应消息。执行HTTP安全头之后，可以阻止XSS、代码注入、clickjacking等等。
服务器使用HTTP响应头来响应用户通过客户端浏览器访问的站点。
网站管理员可以使用这些Header来交流和改进网站安全。以下5个安全头部，将为您的网站提供一些非常需要的保护。

HTTP传输协议严格的安全性(HSTS)
例如一个名为megalayer.net的网站，它已经安装了SSL/TLS证书，可以从HTTP迁移到HTTPS。但是许多HTTPS站点，也都可以通过HTTP访问。开发者错误或用户主动输入地址，都可能导致用户通过HTTP访问站点，从而降低安全性。
这时，HSTS就可以解决问题了，允许浏览器跳转默认HTTPS，无需处理HTTP请求。此外，浏览器的本地替换保证只能发送HTTPS请求，避免被劫持。
为了使用HSTS，只需在HTTPS站点响应Header中添加代码。
字符串转换安全：max-age=。
或者。
字符串转换安全：max-age=;includeSubDomains。
或者。
字符串转换安全：max-age=;preload。
2.内容安全战略(CSP)
通过给予站点管理员权限，HTTP内容安全策略响应头可以管理站点允许加载的内容。也就是说，用户可以把网站的内容源放进白名单。
内容安全策略阻止跨站点的脚本注入和其他代码注入攻击。尽管无法完全消除攻击的可能性，但它的确能最大限度地减少伤害。现在大部分主流浏览器都支持CSP，所以兼容是没有问题的。
密码：
内容-安全策略：；
3.跨站点脚本(X-XSS)保护
X-XSS阻止跨站脚本攻击。IE和Safari都默认启用XSS过滤。当检测到跨站点脚本攻击时，这个过滤器不会让页面加载。
密码：
X-XSS-Protection:0。
X-XSS-Protection:1。
X-XSS-Protection:1；模式=块。
X-XSS-Protection:1；回复=。
四、X-Frame-Options
奥库特时代，一种被称为“点击劫持”的欺骗技术十分流行。采用这一技术，攻击者可以欺骗用户点击那些没有的东西。“X-Frame-Options”，它是为减少点击劫持(Clickjacking)而引入的响应Header。通过禁用网站上存在的iframe可以实现这一点。换言之，它不允许其他人嵌入站点的内容。
语法：
X框架选项：DENY。
X框架：SAMEORIGIN。
X框架操作：ALLOW-FROM网址。
五，X-Content-Type-Options。
因特网上的资源有多种类型，通常浏览器根据响应头的Content-Type字段区分其类型。比如，"text/html"表示html文档，"image/png"表示PNG图片，"text/css"表示CSS样式文档。但是，某些资源的Content-Type是错误的或未定义。在这个时候，一些浏览器会启用MIME-sniffing来猜测资源类型、解析内容和执行。
对于MIME嗅探，X-Content-Type头提供了对策。指出浏览器遵循标题中所示的MIME类型。MIME嗅探还可用来进行跨站点脚本攻击，这是发现资产文件格式的功能。
密码：
内容类型选项：nosniff。