http 响应标头如何设置

1.在HttpServletResponse设置响应头
2.X-Download-Options
用于放置直接打开用户下载文件。
- X-Download-Options: noopen
- noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。
3.X-Content-Type-Options
如果从script或stylesheet读入的文件的MIME类型与指定MIME类型不匹配，不允许读取该文件。用于防止XSS等跨站脚本攻击。

4.X-Permitted-Cross-Domain-Policies
用于指定当不能将“crossdomain.xml”文件（当需要从别的域名中的某个文件中读取Flash内容时用于进行必要设置的策略文件）放置在网站根目录等场合时采取的替代策略。
- X-Permitted-Cross-Domain-Policies: master-only
- master-only 只允许使用主策略文件（/crossdomain.xml）
5.Referrer-Policy
可参考 http://www.manongjc.com/detail/21-vykhzdibuhceyui.html
6.X-XSS-Protection
用于启用浏览器的XSS过滤功能，以防止XSS跨站脚本攻击。
- X-XSS-Protection: 1; mode=block
- 0 禁用XSS过滤功能
- 1 启用XSS过滤功能
7.X-Frame-Options
该响应头中用于控制是否在浏览器中显示frame或iframe中指定的页面，主要用来防止Clickjacking（点击劫持）攻击。
- X-Frame-Options: SAMEORIGIN
- DENY 禁止显示frame内的页面（即使是同一网站内的页面）
- SAMEORIGIN 允许在frame内显示来自同一网站的页面，禁止显示来自其他网站的页面
- ALLOW-FROM origin_uri允许在frame内显示来自指定uri的页面（当允许显示来自于指定网站的页面时使用）
8.Strict-Transport-Security
用于通知浏览器只能使用HTTPS协议访问网站。用于将HTTP网站重定向到HTTPS网站。
- Strict-Transport-Security: max-age=31536000; includeSubDomains
- max-age 用于修改STS的默认有效时间。
- includeSubDomains 用于指定所有子域名同样使用该策略。