HTTP security headers là các response header chỉ thị cho trình duyệt thực thi các biện pháp bảo vệ bảo mật — giúp phòng thủ các tấn công như XSS, clickjacking và downgrade giao thức. Chúng là một lớp phòng thủ dễ dàng, có giá trị cho ứng dụng web.
Các security header chính
CONTENT-SECURITY-POLICY (CSP) → kiểm soát tài nguyên/script nào có thể load/chạy → một biện pháp
phòng thủ mạnh chống XSS (giới hạn nguồn script; chặn inline script) — mạnh nhất
STRICT-TRANSPORT-SECURITY (HSTS) → ép buộc HTTPS (trình duyệt từ chối HTTP) → ngăn
tấn công downgrade/SSL-stripping
X-CONTENT-TYPE-OPTIONS: nosniff → ngăn MIME-type sniffing (ngăn một số tấn công)
X-FRAME-OPTIONS / CSP frame-ancestors → ngăn CLICKJACKING (chặn nhúng trong iframe)
REFERRER-POLICY → kiểm soát lượng thông tin referrer được gửi (quyền riêng tư)
PERMISSIONS-POLICY → kiểm soát quyền truy cập các tính năng trình duyệt (camera, geolocation, v.v.)
