HTTP 安全响应头生成器
为您的 Web 服务器配置 HTTP 安全响应头
安全评分B (4/6)
Strict-Transport-Security (HSTS)
强制浏览器使用 HTTPS。推荐启用,并将 max-age 设为 1 年。
Content-Security-Policy (CSP)
控制浏览器允许加载哪些资源。建议先从仅报告模式开始。
X-Frame-Options
防止您的页面被嵌入到其他网站的 iframe 中。
X-Content-Type-Options
防止 MIME 类型嗅探。请始终设置为 nosniff。
nosniff
Referrer-Policy
控制随请求发送多少来源页(referrer)信息。
Permissions-Policy
控制您的网站可以使用哪些浏览器功能。
# Security Headers add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options "DENY" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Ctrl+Enter 运行Ctrl+Shift+C 复制
了解更多
HTTP 安全响应头:保护你的网站
为你的 Web 服务器配置关键的安全响应头。
什么是 HTTP 安全标头?
HTTP 安全标头是一类响应标头,用于指示浏览器在处理你网站的内容时应如何行事。它们构成了纵深防御中的关键一层,通过在浏览器层面强制执行安全策略,抵御跨站脚本(XSS)、点击劫持和协议降级等常见的 Web 攻击。
阅读约 6 分钟阅读完整指南