1. 理解x-content-type-options响应头的作用 x-content-type-options是一个HTTP响应头,其唯一的目的是为了防止基于MIME类型混淆的攻击。通过设置x-content-type-options: nosniff,浏览器将不会尝试去嗅探响应的内容类型,而是直接使用响应头中指定的Content-Type。这有助于减少XSS(跨站脚本)等安全风险。 2. 检查Web...
入口文件增加 // 添加X-Frame-Options头 header('X-Frame-Options: SAMEORIGIN'); 有三个值选择: 当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的 页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。 ...