一(yī)：X-Frame-Options SAMEORIGIN;
SAMEORIGIN 表示該頁面可以在相同域名頁面的frame中(zhōng)展示

二：X-Content-Type-Options: nosniff;
禁止服務器自動解析資(zī)源類型

三：X-XSS-Protection “1; mode=block”;
mode=block：啓用XSS保護，并在檢查到XSS攻擊時，停止渲染頁面（例如IE8中(zhōng)，檢查到攻擊時，整個頁面會被一(yī)個#替換

四：Content-Security-Policy “default-src *;style-src ‘self’ ‘unsafe-inline’;script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’;img-src * data:;worker-src * blob:;font-src ‘self’ data:;”;
default-src 定義針對所有類型資(zī)源的默認加載策略,
self 允許加載相同源的内容

五：Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
其可選的值有： max-age=SECONDS，表示本次命令在未來的生(shēng)效時間 includeSubDomains，可以用來指定是否對子域名生(shēng)效 漏洞危害

六：X-Permitted-Cross-Domain-Policies none;
none:不設置

七：X-Download-Options: noopen;
noopen:用于指定IE 8以上版本的用戶不打開(kāi)文件而直接保存文件。在下(xià)載對話(huà)框中(zhōng)不顯示“打開(kāi)”選項。

八：Referrer-Policy “no-referrer”;不允許被記錄