Strict-Transport-Security要求浏览器总是通过HTTPS来访问。
X-Frame-Options:SAMEORIGIN不允许被本域以外的页面嵌入。
X-XSS-Protection:1启用XSS保护。
X-Content-Type-Options: nosniff禁用浏览器的类型猜测行为。
X-Content-Security-Policy响应头主要是用来定义页面可以加载哪些资源,减少XSS的发生。
原文网址:https://imququ.com/post/web-security-and-response-header.html