摘要:作用禁用瀏覽器的猜測行為���。不允許的情況下,瀏覽器會模擬一個狀態(tài)為的響應(yīng)�����?�?赡軙孤┟舾行畔⒆饔梅乐怪虚g人攻擊��。是網(wǎng)站防止攻擊者利用錯誤簽發(fā)的證書進(jìn)行中間人攻擊的一種安全機(jī)制�,用于預(yù)防遭入侵或者其他會造成簽發(fā)未授權(quán)證書的情況。
1.Strict-Transport-Security
HTTP Strict-Transport-Security����,簡稱為HSTS���。
作用:允許一個HTTPS網(wǎng)站����,要求瀏覽器總是通過HTTPS訪問它。
strict-transport-security: max-age=16070400; includeSubDomains
- includeSubDomains���,可選��,用于指定是否作用于子域名
- 支持HSTS的瀏覽器遇到這個響應(yīng)頭����,會把當(dāng)前網(wǎng)站加入HSTS列表��,然后在max-age指定的秒數(shù)內(nèi)�,當(dāng)前網(wǎng)站所有請求都會被瀏覽器重定向為https。
- Chrome內(nèi)置了一個HSTS列表�����,默認(rèn)包含Google���、Paypal��、Twitter��、Linode等服務(wù)���。輸入chrome://net-internals/#hsts���,進(jìn)入HSTS管理界面,可以增加/刪除/查詢HSTS記錄�。
2.X-Frame-Options:是否允許一個頁面可在、
