Http安全性Header
X-Frame-Options
HTTP回應標頭 (header) 用來指示文件是否能夠載入<frame>, <iframe>以及<object>,網站可以利用 X-Frame-Options 來確保本身內容不會遭惡意嵌入道其他網站、避免 clickjacking 攻擊
範例:
HTTP/2.0 200 OK
X-Frame-Options: DENYhttps://developer.mozilla.org/zh-TW/docs/Web/HTTP/X-Frame-Options
X-XSS-Protection
可在檢測到反映的跨站點腳本(XSS)攻擊時阻止頁面加載
範例:
HTTP/2.0 200 OK
X-XSS-Protection: 1; mode=blockhttps://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-XSS-Protection
X-Content-Type
HTTP回應標頭 (header) 用來指示該標記MIME類型的Content-Type標題不應該被改變,並且被遵循
範例:
HTTP/2.0 200 OK
X-Content-Type-Options: nosniffhttps://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Content-Type-Options