http 模块添加 即可解决 1,2,3,4 问题:
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security max-age=31536000;
1- HTTP响应头X-Content-Options:nosniff检查
需要在Web应用程序的所有页面上设置以下响应头:X-Content-Type-Options:nosniff
server {
#...
proxy_hide_header X-Content-Type-Options;
add_header X-Content-Type-Options "nosniff" always;
#...
}
2- HTTP响应头使用X-XSS-Protection检查
需要在Web应用程序的所有页面上设置以下响应头:X-XSS-Protection:1; mode=block
然后在http配置代码块里某一行添加如下语句即可
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
3- HTTP响应头部使用X-Frame-Options检查
配置 Nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:
add_header X-Frame-Options SAMEORIGIN always;
4-HTTP安全返回头Strict-Transport-Security检查
需要在Web应用程序的所有页面上设置以下标题:Strict-Transport-Security:max-age = 16070400;
请注意,当您设置此标头时,您需要在端口443上运行的Web服务器。如果你没有它并且应用这个修复你的网站将不再可用
add_header Strict-Transport-Security max-age=31536000;