http響應頭設置功能,常用于相關部分對網站檢測漏洞報告中提示沒有響應頭,您可根據報告中要求,開啟勾選對應響應頭情況。
注:若未有對應檢測報告提及,不建議隨意開啟響應頭功能,不同的響應頭作用不同,避免影響您的網站操作跟實際體驗。
【版本】標準版及以上版本
【響應頭】不同的響應頭作用有所區別,具體作用如下表:
| 響應頭 | 作用 |
| X-Frame-Options | 減少/避免點擊劫持的攻擊(開啟僅對綁定域名生效) |
| Strict-Transport-Security | 要求瀏覽器總是通過 HTTPS 訪問網站,生效需要支持有https證書 |
| X-XSS-Protection | 防范 XSS 攻擊 |
| Content-Security-Policy | 用于定義頁面可以加載哪些資源,減少和上報 XSS 的攻擊,防止數據包嗅探攻擊 |
| Referrer-Policy | 增加隱私保護 |
| X-Permitted-Cross-Domain-Policies | 用于指定客戶端能夠訪問的跨域策略文件的類型 |
| X-Download-Options | 禁用 IE 瀏覽器下的下載框Open按鈕,防止 IE 下載文件默認被打開 XSS |
| X-Content-Type-Options | 禁止瀏覽器執行MIME行為 |
1. 在哪里開啟功能?
在編輯設計頁面,點擊左側按鈕【設置】,在【高級設置】中勾選“設置https響應頭”,在彈出的設置面板中勾選對應響應頭生效。
四、常見問題
Q:我是否必須都要勾選啟用,能否不啟用,會有什么影響?
A:不需要全部啟用,有對應檢測報告提到缺漏的響應頭,您再對應的開啟即可。不建議全部開啟,不同響應頭作用不同,避免影響您的網站體驗。
Q:勾選保存后如何知道相關響應頭已經生效?
A:勾選并確認保存設置彈窗后,您訪問并刷新當前綁定的網站域名即可生效。
感謝反饋
