【第三方网站测试:WEB安全测试中HTTP响应头安全配置的检测的几个要点】

WEB安全测试：HTTP响应头安全配置检测

安全头部检测
1.Strict-Transport-Security（HSTS）
2.检测max-age值：应≥15552000秒（180天）
3.检查includeSubDomains指令：确保包含子域名
4.验证preload指令：如需加入预加载列表需设置
示例：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

X-Content-Type-Options
唯一有效值：nosniff
阻止浏览器MIME类型嗅探
示例：X-Content-Type-Options: nosniff

X-Frame-Options
有效值：DENY（完全禁止）、SAMEORIGIN（同源允许）、ALLOW-FROM uri（指定来源）
防御点击劫持攻击
示例：X-Frame-Options: SAMEORIGIN

Content-Security-Policy
检测default-src指令：设置默认加载策略
验证script-src指令：限制JavaScript执行来源
检查style-src指令：控制CSS加载源
示例：Content-Security-Policy: default-src 'self'; script-src 'self' https://www.zmtests.com

X-XSS-Protection
推荐配置：X-XSS-Protection: 1; mode=block
启用浏览器XSS过滤机制
示例：X-XSS-Protection: 1; mode=block

Referrer-Policy
常用值：strict-origin-when-cross-origin<