以下是常见的网站安全相关响应头及其应用场景和作用。

1. Content-Security-Policy (CSP)

作用： 防止跨站脚本攻击（XSS）、点击劫持、资源注入等 示例：

Content-Security-Policy: default-src 'self'

说明： CSP 限制页面可以加载哪些外部资源（如 JS、CSS、图片等），有效减少XSS攻击面。可以自定义策略，例如只允许加载本站资源或受信任的第三方资源。

应用场景：

• 防御XSS、数据注入
• 限制恶意脚本加载

2. X-Frame-Options

作用： 防止页面被嵌入到其他网站的 frame/iframe 中 示例：

X-Frame-Options: DENY

说明： 可选值有 DENY（禁止嵌入），SAMEORIGIN（同域可以嵌入），ALLOW-FROM uri（仅允许指定域名嵌入，现代浏览器支持有限）。

应用场景：

• 防御点击劫持（Clickjacking）

3. X-Content-Type-Options

作用： 防止MIME类型嗅探 示例：

X-Content-Type-Options: nosniff

说明： 阻止浏览器对声明的内容类型进行自动推断，减少脚本样式文件被误当作其他类型资源执行的风险。

应用场景：

• 防御利用MIME嗅探绕过内容安全检测的攻击

4. Strict-Transport-Security (HSTS)

作用： 强制客户端通过HTTPS连接网站 示例：

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

说明： 启用后，浏览器将在设定时间（如一年）内，只允许运行HTTPS，防止中间人攻击，如SSL剥离。

应用场景：

• 强制所有交互均通过HTTPS
• 防止SSL剥离攻击

5. Referrer-Policy

作用： 控制Referer请求头的发送策略 示例：

Referrer-Policy: no-referrer

说明： 合理设置可防止敏感数据通过Referer头泄漏。

应用场景：

• 防止在不同来源间泄漏敏感URL信息

6. Permissions-Policy (原 Feature-Policy)

作用： 限制页面可使用的浏览器特性 示例：

Permissions-Policy: geolocation=(), camera=()

说明： 可禁止或限制子页面/第三方iframe对地理位置、摄像头、麦克风、传感器等敏感特性的访问。

应用场景：

• 最小化敏感功能暴露
• 控制iframe及第三方脚本权限

7. Cross-Origin Resource Sharing (CORS) 相关响应头

• Access-Control-Allow-Origin: 指定哪些源可访问资源
• Access-Control-Allow-Credentials: 是否允许携带Cookie等凭据
• Access-Control-Allow-Methods/Headers: 允许的方法和Headers

说明： 通过精细配置CORS响应头，可防止跨域攻击和数据泄漏。

应用场景：

• API安全防护
• 防止数据被未授权第三方站点调用

8. Cross-Origin-Opener-Policy & Cross-Origin-Embedder-Policy

作用： 增强跨域隔离和安全性 示例：

Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Embedder-Policy: require-corp

说明： 主要防御Spectre等旁道攻击、提升浏览器跨文档隔离性。

应用场景：

• 高安全性应用，需实现跨文档隔离

9. Set-Cookie 安全属性

• HttpOnly: 防止JS脚本访问Cookie
• Secure: 仅在HTTPS下传输
• SameSite: 限制Cookie跨站发送

示例：

Set-Cookie: sessionid=...; HttpOnly; Secure; SameSite=Strict

应用场景：

• 防止XSS、CSRF等Cookie相关攻击

总结

通过合理配置上述安全HTTP响应头，可以有效减少网站面临的各类Web安全风险，是现代Web安全防护体系的重要组成部分。实际应用中，需根据业务场景综合选择和配置，以达到最佳防护效果。