X-headers，是什么以及为什么？

内容

继续我之前关于网站安全周的博客，我们将讨论一系列X-安全标头。

当您的网站上线时，这些将被设置为标题，让我们深入了解一下！

此标头指示浏览器不应尝试嗅探所提供文件的类型。嗅探文件类型意味着浏览器会修改Content-Type服务器返回的标头。

嗅探文件内容类型可能导致非可执行文件被设置为可执行文件，这可能导致恶意攻击者将可执行代码注入正常文件，从而导致漏洞。内容嗅探
的背景。

最好不要让浏览器嗅探代码。

推荐设置：

X-Content-Type-Options: nosniff

您可以在Modzilla上阅读更多相关信息。

此标头已基本被内容安全策略取代，但对于旧版浏览器仍然有用。
可以设置此标头，以便浏览器检测 XSS（跨站脚本攻击），并在检测到跨站脚本攻击后阻止资源加载。

推荐设置：

X-XSS-Protection: 1; mode=block

您可以在Modzilla上阅读更多相关信息。

该标头大部分已被内容安全策略取代，但它对旧浏览器仍然有用。

这指示网站是否可以在、或中加载<frame>。<iframe>使用<embed>此<object>标
头可确保您的网站和内容不会嵌入到其他人的网站中，这通常称为点击劫持攻击。

推荐设置：

X-Frame-Options: DENY

您可以在Modzilla上阅读更多相关信息。

总而言之，在网站运行时设置一些额外的标头确实可以提高网站的安全性。它可以减少攻击者的攻击面，并防止常见的网站攻击。

现在设置这些标题！

快乐建造！