安全响应头速查

常见 HTTP 安全头说明与一键复制示例。

以下为常见安全响应头示例，按栈（Nginx / CDN / 框架）择一配置即可。

HSTS

强制 HTTPS（按年）

Strict-Transport-Security: max-age=31536000; includeSubDomains

X-Content-Type-Options

禁止嗅探类型

X-Content-Type-Options: nosniff

X-Frame-Options

禁止被嵌套（同 DENY）

X-Frame-Options: DENY

Referrer-Policy

收紧 Referer

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy（示例）

关闭部分敏感 API

Permissions-Policy: camera=(), microphone=(), geolocation=()