安全头部清单
- Strict-Transport-Security (HSTS)——强制 HTTPS,防止降级攻击
- Content-Security-Policy (CSP)——限制资源来源,防止 XSS
- X-Frame-Options——控制 iframe 嵌入,防止点击劫持
- X-Content-Type-Options: nosniff——防止 MIME 类型嗅探
- Referrer-Policy——控制 Referer 头部信息泄露
- Permissions-Policy——限制浏览器特性访问
缓存头部
- Cache-Control: max-age——响应在多少秒内视为新鲜
- Cache-Control: public/private——可被 CDN 缓存或仅浏览器缓存
- Cache-Control: no-store——绝不缓存(敏感数据)
- ETag / Last-Modified——用于条件请求重新验证