前端需要知道的 HTTP 安全头配置( 二 ) _安全头配置

X-Frame-Options 设置可以由 CSP 的 frame-ancestors 配置所代替。
示例X-Frame-Options: DENY # 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。X-Frame-Options: SAMEORIGIN # 表示该页面可以在相同域名页面的 frame 中展示。X-Frame-Options: ALLOW-FROM uri # 表示该页面可以在指定来源的 frame 中展示。Access-Control-Allow-OriginAccess-Control-Allow-Origin 响应头指定了该响应的资源是否被允许与给定的 origin 共享。
功能可以被用来可解决浏览器的跨域请求。
比如一个站点 A 页面中发起一个 AJAX 请求到站点 B， A B 不同源。正常情况下因为浏览器的同源策略将不会把 B 的响应结果返回给 A, 除非 B 在响应头中设置允许 A 站点发起请求。
示例
Access-Control-Allow-Origin: * # 允许所有域请求 Access-Control-Allow-Origin: http://someone.com # 允许特定域请求
Set-CookieSet-Cookie 响应头被用来由服务器端向客户端发送 cookie 。
示例

domain: 指定 cookie 可以送达的域名，默认为当前域名（不包含子域名）
Secure: 只有在 https 协议时才会被发送到服务端。然而，保密或敏感信息永远不要在 HTTP cookie 中存储或传输，因为整个机制从本质上来说都是不安全的
HttpOnly: cookie 不能使用 JavaScript代码获取到

Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnlyX-XSS-ProtectionX-XSS-Protection 响应头是Internet Explorer，Chrome和Safari的一个功能，当检测到跨站脚本攻击 (XSS)时，浏览器将停止加载页面。
示例X-XSS-Protection: 1; mode=block # 启用XSS过滤。如果检测到 XSS 攻击，浏览器将不会清除页面，而是阻止页面加载。总结设置 HTTP 头信息是相对快速和简单的对于网站的数据保护、XSS 攻击和点击劫持等攻击。有针对性的设置这些头信息，你的网站的安全性将会有不错的提高。

【前端需要知道的 HTTP 安全头配置】