网上浪了许久，只是为了找一个很简单的配置

　　网上浪了许久，只是为了找一个很简单的配置

　　今天上网找了很久，只是想找到一个很简单的配置，但是怎么也找不到。

　　终于找到了，我觉得还是记录一下比较好，也许能省下很多人和我一样浪费时间。

　　1.X-Frame-Options

　　如果网站可以嵌入到IFRAME元素中，攻击者就可以设计一个社交情境中的情景，即受害者指向攻击者控制的网站，而这个网站构成了目标网站。然后攻击者可以操纵受害者在不知不觉中对目标网站 执行操作。即使有跨站请求伪造保护，这种攻击也是可能的，被称为“点击劫持”。有关更多信息，请参阅。为了避免这种情况，创建了标题“X-Frame-Options”。此标题允许网站 所有者决定允许哪些网站 构建他们的网站。

　　一般建议将此标头设置为“SAMEORIGIN”，仅允许属于同源策略的资源形成受保护资源的框架，或设置为“DENY”，拒绝任何资源（本地或远程）尝试该框架还为“X-Frame-Options”标头提供资源。如下图：

　　X-Frame-Options: SAMEORIGIN

　　请注意，标题“X-Frame-Options”已被弃用，将被内容安全政策中的 Frame-Options 指令取代，该指令仍在积极开发中。但是，“X-Frame-Options”标题目前有更广泛的支持，因此仍应实施安全措施。

　　说白了就是不要让你的网站嵌套。

　　其实很简单（我还在网上搜索了很久）

　　配置文件配置

　　2.Content-Security-Policy

　　内容安全策略 (CSP) 旨在允许 Web 应用程序的所有者将应用程序的预期行为（包括内容源、脚本源、插件类型和其他远程资源）通知客户端浏览器，它允许浏览器更智能地更新强制安全约束。尽管 CSP 本质上很复杂，但如果部署不当，它可能会变得混乱。一个应用得当的 CSP 可以大大降低利用大多数形式的跨站点脚本攻击的机会。

　　为了深入了解 CSP 允许的功能和不同设置，需要整篇文章，因此建议进一步阅读。以下是 Mozilla 开发者网络关于 CSP 的精彩介绍文章：

　　下面的简短示例展示了如何使用 CSP 指定您的 网站 要从任何 URI 加载图像、从受信任的媒体提供商列表（包括内容分发网络）插入插件内容，并且仅从那些您控制服务器加载脚本：

　　Content-Security-Policy: default-src'self';img-src *;object-src * .;script-src

　　请注意，使用 CSP 的主要问题涉及策略配置错误（即使用“unsafe inline”），或使用了过于松散的策略，因此在实施 CSP 时应特别注意。

　　这是给大家介绍一下，加个限制，这样别人如果想通过某种方式给你的网站加一些不好的东西，我们可以有效的防止

　　默认值如下：

　　3.X-Content-Type-Options

　　一个叫做 MIME 类型混淆的漂亮攻击是创建这个标头的原因。大多数浏览器使用一种称为 MIME 嗅探的技术，其中包括对来自教育服务器的响应的内容类型进行猜测，而不是信任标头的内容类型值。在某些情况下，浏览器可能会被诱骗做出错误的决定，从而允许攻击者在受害者的浏览器上执行恶意代码。有关详细信息，请参阅。

　　“X-Content-Type-Options”可以用来防止这种“有教养”的猜测，通过将这个header的值设置为“nosniff”，如下：

　　X-Content-Type-Options: nosniff

　　请注意，Internet Explorer、Chrome 和 Safari 都支持此标题，但 Firefox 团队仍在争论： id=471020

　　4.X-XSS-保护

　　现代浏览器收录一项有助于防止跨站点脚本攻击反射的功能，称为 XSS 过滤器。 “X-XSS-Protection”标头可用于启用或禁用此内置功能（目前此功能仅支持 Internet Explorer、Chrome 和 Safari）。

　　推荐的配置是将此标头设置为以下值，这将启用 XSS 保护并指示浏览器在从用户输入插入恶意脚本时阻止响应，而不是清理：

　　X-XSS-Protection: 1;mode = block.

　　如果服务器未发送“X-XSS-Protection”标头，Internet Explorer 和 Chrome 将默认清除所有恶意数据。

　　请注意，X-XSS-Protection 标头已被弃用，将被内容安全策略中的 Reflected-XSS 指令取代，该指令仍在积极开发中。不过目前“X-XSS-Protection”的支持范围比较广，安全措施还是要落实的。

　　0 – 关闭对浏览器的xss防护

1 – 开启xss防护

1; mode=block – 开启xss防护并通知浏览器阻止而不是过滤用户注入的脚本。

1; report=http://site.com/report – 这个只有chrome和webkit内核的浏览器支持，这种模式告诉浏览器当发现疑似xss攻击的时候就将这部分数据post到指定地址。

　　配置方法

　　这些是困扰我很久的几个安全配置，但是我在网上找不到了

　　文章中的介绍引自：

　　如果你想了解更多，这是我整个下午找到的信息

　　URL 安全检测

　　:///

　　学习之路任重而道远