HTTP头里会透露很多服务器和程序信息,不当的信息暴露可能被攻击者利用。优化HTTP头是网站安全的重要一环。
服务器签名最好隐藏。默认Apache或Nginx会在404页面等地方显示服务器版本号,攻击者可以根据版本号查找已知漏洞。
X-Powered-By头会暴露程序信息。PHP程序默认会显示PHP版本,建议在php.ini里关闭这个头。
X-Frame-Options头防止点击劫持。设置这个头可以禁止网页被iframe嵌入,防止被恶意网站利用。
Content-Security-Policy头能防止XSS攻击。配置好CSP策略,浏览器会阻止非法脚本执行。
X-Content-Type-Options设为nosniff,防止浏览器猜测内容类型,避免被利用。