ToolsDashboard
Web 安全
现代网站安全头检查清单
设置基础安全头以降低 XSS、点击劫持与 MIME 问题。
从 CSP 与 framing 开始
使用基础 Content-Security-Policy,除非需要否则禁止嵌入。
添加内容类型与 referrer 控制
启用 X-Content-Type-Options 并使用严格的 Referrer-Policy。
评估影响
先以 report-only 模式上线,再逐步收紧策略。
检查清单
- •添加 CSP report-only。
- •设置 X-Content-Type-Options。
- •检查 referrer policy。