Skip to main content
CheckTown

HTTP 安全响应头生成器

为您的 Web 服务器配置 HTTP 安全响应头

安全评分B (4/6)

Strict-Transport-Security (HSTS)

强制浏览器使用 HTTPS。推荐启用,并将 max-age 设为 1 年。

Content-Security-Policy (CSP)

控制浏览器允许加载哪些资源。建议先从仅报告模式开始。

X-Frame-Options

防止您的页面被嵌入到其他网站的 iframe 中。

X-Content-Type-Options

防止 MIME 类型嗅探。请始终设置为 nosniff。

nosniff

Referrer-Policy

控制随请求发送多少来源页(referrer)信息。

Permissions-Policy

控制您的网站可以使用哪些浏览器功能。

# Security Headers
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

了解更多

HTTP 安全响应头:保护你的网站

为你的 Web 服务器配置关键的安全响应头。

什么是 HTTP 安全标头?

HTTP 安全标头是一类响应标头,用于指示浏览器在处理你网站的内容时应如何行事。它们构成了纵深防御中的关键一层,通过在浏览器层面强制执行安全策略,抵御跨站脚本(XSS)、点击劫持和协议降级等常见的 Web 攻击。

阅读约 6 分钟阅读完整指南

常见问题