一、功能介绍
http响应头设置功能,常用于相关部分对网站检测漏洞报告中提示没有响应头,您可根据报告中要求,开启勾选对应响应头情况。
注:若未有对应检测报告提及,不建议随意开启响应头功能,不同的响应头作用不同,避免影响您的网站操作跟实际体验。
二、功能说明
【版本】中级版及以上版本
【响应头】不同的响应头作用有所区别,具体作用如下表:
| 响应头 | 作用 |
| X-Frame-Options | 减少/避免点击劫持的攻击(开启仅对绑定域名生效) |
| Strict-Transport-Security | 要求浏览器总是通过 HTTPS 访问网站,生效需要支持有https证书 |
| X-XSS-Protection | 防范 XSS 攻击 |
| Content-Security-Policy | 用于定义页面可以加载哪些资源,减少和上报 XSS 的攻击,防止数据包嗅探攻击 |
| Referrer-Policy | 增加隐私保护 |
| X-Permitted-Cross-Domain-Policies | 用于指定客户端能够访问的跨域策略文件的类型 |
| X-Download-Options | 禁用 IE 浏览器下的下载框Open按钮,防止 IE 下载文件默认被打开 XSS |
| X-Content-Type-Options | 禁止浏览器执行MIME行为 |
三、操作教程
1. 在哪里开启功能?
在编辑设计页面,点击左侧按钮【设置】,在【高级设置】中勾选“设置https响应头”,在弹出的设置面板中勾选对应响应头生效。
四、常见问题
Q:我是否必须都要勾选启用,能否不启用,会有什么影响?
A:不需要全部启用,有对应检测报告提到缺漏的响应头,您再对应的开启即可。不建议全部开启,不同响应头作用不同,避免影响您的网站体验。
Q:勾选保存后如何知道相关响应头已经生效?
A:勾选并确认保存设置弹窗后,您访问并刷新当前绑定的网站域名即可生效。
