🔒 安全头检查
当前配置的安全头
X-Frame-Options
SAMEORIGIN
防止点击劫持攻击
X-Content-Type-Options
nosniff
防止 MIME 类型嗅探
X-XSS-Protection
1; mode=block
启用 XSS 过滤
Referrer-Policy
strict-origin-when-cross-origin
控制 Referer 信息发送
Permissions-Policy
camera=(), microphone=(), geolocation=(), ...
限制浏览器功能权限
Content-Security-Policy
default-src 'self'; script-src 'self' 'unsafe-inline'...
内容安全策略,防止 XSS 和数据注入
Strict-Transport-Security
max-age=31536000; includeSubDomains; preload
强制使用 HTTPS(仅生产环境)
检查方法
1. 使用浏览器开发者工具
- 打开 F12 开发者工具
- 切换到 Network 标签
- 刷新页面
- 点击主文档请求
- 查看 Response Headers
2. 使用 curl 命令
curl -I https://vdogo.com3. 在线安全检测工具
安全建议
✅所有基本安全头已配置
✅CSP 策略已启用
⚠️CSP 中使用了 'unsafe-inline',建议逐步迁移到 nonce 或 hash
💡定期检查和更新安全策略