导读

除了HTTPS加密和WAF，安全响应头也是Web安全防护的重要组成部分。正确配置安全响应头能够在浏览器层面提供额外的安全保护，防御XSS点击劫持等常见攻击。外贸网站制作中这些安全配置往往被忽视。邦赢网络在安全加固项目中积累了丰富的经验，本文详细介绍各项安全响应头的作用和配置方法。

一、X-Content-Type-Options头配置

X-Content-Type-Options头用于防止浏览器MIME类型嗅探攻击。当服务器返回的内容类型不正确时，浏览器可能会尝试猜测内容类型并执行。启用此头可以告诉浏览器严格遵守服务器声明的内容类型。

邦赢网络建议配置为nosniff，这会在浏览器检测到类型不匹配时阻止执行。配置方法简单，只需在服务器配置中添加：X-Content-Type-Options: nosniff。这个头对大多数网站都有益处，建议默认启用。

二、X-Frame-Options防止点击劫持

X-Frame-Options头用于防止网站被嵌入到iframe中，避免点击劫持攻击。攻击者可以通过隐藏的iframe诱导用户在不知情的情况下点击页面元素，从而执行非预期的操作。

邦赢网络建议配置为DENY完全禁止，或SAMEORIGIN只允许同源嵌入。对于需要被第三方嵌入的页面如支付页面，可以使用frame-ancestors CSP指令替代。配置示例：X-Frame-Options: SAMEORIGIN。

三、Content-Security-Policy内容安全策略

CSP是最强大的安全响应头之一，它通过白名单机制控制页面可以加载和执行哪些资源。CSP能够有效防御XSS攻击、点击劫持和数据注入等威胁。

邦赢网络建议CSP配置要谨慎，因为过于严格的策略可能导致页面功能失效。建议从报告模式开始：Content-Security-Policy-Report-Only，只报告违规不阻止执行；验证无问题后再切换到强制模式。常用配置包括限制脚本来源、禁止内联脚本、限制connect来源等。

四、X-XSS-Protection与跨站脚本防护

X-XSS-Protection头启用浏览器内置的XSS过滤器。虽然现代浏览器已经普遍内置了XSS防护，但显式启用这个头可以提供额外的保护层。对于某些浏览器的防护绕过情况，明确启用防护仍然有意义。

邦赢网络建议配置为X-XSS-Protection: 1; mode=block，当检测到XSS攻击时阻止页面渲染而不是清理攻击代码。注意如果已经配置了完善的CSP，这个头的优先级可以降低。

五、Strict-Transport-Security强制HTTPS

HSTS头告诉浏览器在未来指定时间内只能通过HTTPS访问网站，防止HTTP降级攻击。启用HSTS后，即使用户手动输入HTTP地址，浏览器也会自动转换为HTTPS。

邦赢网络建议配置示例：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload。max-age设置为一年或更长；includeSubDomains应用到所有子域名；preload提交到HSTS预加载列表。配置前要确保所有子域名都支持HTTPS。

六、Referrer-Policy控制引用来源信息

Referrer-Policy控制Referer头的发送策略。Referer头会告诉目标网站用户从哪个页面跳转过来，这可能泄露用户的浏览历史信息。合理配置可以保护用户隐私。

邦赢网络建议使用strict-origin-when-cross-origin或no-referrer，前者只在同源时传递完整URL，跨域时只传递来源origin；后者完全不发送Referer头。要根据业务需要选择合适的策略。