什么是 HTTP 安全头？

Question

什么是 HTTP 安全头？

Accepted Answer

**HTTP 安全头**是响应头，指示浏览器强制执行安全保护——帮助防御 XSS、clickjacking 和协议降级等攻击。它们是 web 应用程序防御的一个简单、有价值的层。

## 关键安全头

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## 示例

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## 为什么这很重要（纵深防御）

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## 为什么这很重要

理解 HTTP 安全头是有价值的，因为它们为 **web 应用程序提供了一个简单、有效的防御层**，所以这是有用的实用安全知识。

安全头指示浏览器对常见攻击强制执行保护，理解关键的安全头很有价值。**Content-Security-Policy (CSP)** 最强大——控制哪些资源和脚本可以加载和运行，为 XSS 提供强大防御（即使在输出转义遗漏时也能缓解）。**Strict-Transport-Security (HSTS)** 强制 HTTPS，防止降级和 SSL 剥离攻击。**X-Frame-Options**（或 CSP frame-ancestors）通过阻止页面被嵌入 iframe 来防止 **clickjacking**。**X-Content-Type-Options: nosniff**、Referrer-Policy 和 Permissions-Policy 提供进一步的保护。

理解这些头以及它们防护的内容是实用知识。

理解**为什么这很重要**是关键价值：它们**容易添加**（在服务器/代理上配置），但以很少的工作量提供显著的保护，并且它们实现了**纵深防御**（额外的层——例如 CSP 在编码错误允许时缓解 XSS）。

理解**头不是安全编码的替代品**的重要注意事项（你仍然必须修复根本原因；CSP 需要谨慎配置）反映了平衡的理解——头是补充，不是替代安全开发。

安全头是一个有价值的、低工作量的改进，许多网站都没有充分利用，工具/扫描器通常会检查它们。

由于安全头为 web 应用程序提供了简单、有效的纵深防御（防御 XSS、clickjacking、降级攻击），工作量很少，而且理解关键头及其价值对改进 web 应用安全很有用，理解 HTTP 安全头是有价值的、实际相关的安全知识——web 防御的一个低工作量、高价值的层（特别是用于 XSS 的 CSP 和用于 clickjacking 的 X-Frame-Options），补充安全编码，用于强化 web 应用的有用知识。