应用加固支持
点击劫持防护
实现方式
输出 X-Frame-Options 响应头
可选配置
| 配置 | 说明 |
|---|---|
| 不开启 | - |
| deny | 禁止网站被 frame/iframe 嵌套 |
| sameorigin | 允许网站被 frame/iframe 嵌套,但父页面只能是当前域 |
MIME 嗅探防护
实现方式
输出 X-Content-Type-Options 响应头
可选配置
| 配置 | 说明 |
|---|---|
| 不开启 | - |
| nosniff | 如果从script或stylesheet读入的文件的MIME类型与指定MIME类型不匹配,不要读取该文件。可用于防止XSS等跨站脚本攻击。 |
XSS Auditor 防护
实现方式
输出 X-XSS-Protection 响应头
可选配置
| 配置 | 说明 |
|---|---|
| 不开启 | - |
| 1; mode=block | 开启浏览器的 XssAuditor 功能 |
文件自动运行防护
实现方式
输出 X-Download-Options 响应头
可选配置
| 配置 | 说明 |
|---|---|
| 不开启 | - |
| noopen | IE 8以上版本的用户,不打开文件而直接保存文件。在下载对话框中不显示 "打开" 选项。 |
X-Protected-By 头
这个 Header 用于检查服务器是否安装了 OpenRASP,可以关闭