安全工具/安全头
安全头
为Web服务器生成HTTP安全头
预设
安全头
Forces HTTPS connections for secure communication
Prevents clickjacking attacks by controlling iframe embedding
Prevents MIME type sniffing attacks
Legacy XSS filter (deprecated, use CSP instead)
Controls how much referrer information is sent
Controls browser features and APIs
Prevents loading cross-origin resources without permission
Isolates browsing context from cross-origin documents
Protects resources from being loaded by other origins
生成的输出
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: geolocation=(), microphone=(), camera=()
已启用5个头
实现说明
将这些头添加到您的Web服务器配置中。对于Nginx,添加到server块中。对于Apache,添加到.htaccess或httpd.conf中。在部署到生产环境之前进行充分测试。
安全头指南
学习如何使用HTTP安全头保护您的Web应用程序
什么是安全头?
HTTP安全头是Web服务器发送给浏览器的指令,帮助防止常见的Web漏洞。它们控制浏览器如何处理网站内容,防止XSS、点击劫持和数据注入攻击。
如何使用
- 根据安全需求选择预设(基础、推荐或严格)
- 切换各个头的开/关并自定义其值
- 选择输出格式(原始、Nginx或Apache)
- 复制生成的配置并添加到您的Web服务器
最佳实践
常见问题
哪些头最重要?
必要的头是:强制HTTPS的Strict-Transport-Security(HSTS)、防止MIME嗅探的X-Content-Type-Options、防止点击劫持的X-Frame-Options或CSP frame-ancestors。这三个在最小化兼容性问题的同时提供对常见攻击的显著保护。
这些头会破坏我的网站吗?
大多数头如HSTS、X-Content-Type-Options和Referrer-Policy是安全的,不会破坏功能。但是,严格的COOP/COEP设置可能会影响跨域资源。始终先在预发布环境中测试,特别是如果您的网站使用第三方脚本、iframe或跨域API。
X-Frame-Options和CSP frame-ancestors有什么区别?
两者都防止点击劫持,但CSP frame-ancestors更灵活、更现代。X-Frame-Options只支持DENY或SAMEORIGIN,而frame-ancestors允许特定域。当两者都设置时,CSP frame-ancestors优先。如果需要允许特定站点嵌入您的内容,请使用frame-ancestors。
我应该使用HSTS preload吗?
HSTS preload将您的域添加到浏览器内置的仅HTTPS列表中。这提供了最大的保护,但难以撤销。启用preload之前:确保所有子域都支持HTTPS,永久承诺使用HTTPS,并从较短的max-age开始。只有在确定时才添加preload指令。
什么是COOP、COEP和CORP头?
这些是用于高级安全的隔离头。COOP(Cross-Origin-Opener-Policy)将您的窗口与跨域弹出窗口隔离。COEP(Cross-Origin-Embedder-Policy)确保所有资源都明确共享。CORP(Cross-Origin-Resource-Policy)控制谁可以加载您的资源。它们一起启用SharedArrayBuffer等强大功能,但需要所有资源选择加入。