安全回應標頭速查

常見 HTTP 安全標頭說明與一鍵複製範例。

以下為常見安全回應頭範例，依堆疊（Nginx / CDN / 框架）擇一設定即可。

HSTS

強制 HTTPS（一年 max-age）

Strict-Transport-Security: max-age=31536000; includeSubDomains

X-Content-Type-Options

禁止嗅探類型

X-Content-Type-Options: nosniff

X-Frame-Options

禁止被嵌入（等同 DENY）

X-Frame-Options: DENY

Referrer-Policy

收緊 Referer

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy（範例）

關閉部分敏感 API

Permissions-Policy: camera=(), microphone=(), geolocation=()