HttpOnlycookie标志。HttpOnly是另一个应用于cookie的标志，所有现代浏览器都支持它。Http

Only标志的目的是指示浏览器禁止任何脚本访问cookie内容，以降低被JavaScript发起的XSS攻

击窃取cookie的风险。浏览器可以使用各种检测技术来判断服务器返回什么类型的内容。然后，

浏览器会执行一些与内容类型相关的操作。nosniff指令可以禁用浏览器的上述行为，并强制浏

览器根据内容类型头呈现内容。例如，如果服务器用nosniff指令返回对脚本标记的响应，浏览

器将忽略响应内容，除非响应的MIME类型是application/javascript(或其他几个字符串)。对于

维基百科这样的网站(允许上传)，做到这一点非常重要。

 

 

如果响应中不包含这个指令，有人上传了一个特殊的文件，然后文件被下载了，可能会造成威

胁。此时，浏览器可能会像往常一样曲解文件的MIME类型，例如，将JPEG解释为脚本。从

浏览器安全的角度来看，很有可能会有人利用这一点来控制浏览器。例如，这个人上传了一

个允许上传的文件(看起来是安全的)，但浏览器随后以另一种危险而多变的方式对其进行解释。

 

 

Strict-Transport-Security严格的传输安全.该HTTP头表示浏览器必须通过有效的HTTPS通道与

网站通信。如果是不安全的连接，用户就不可能接受HTTPS错误并继续浏览网站。相反，浏

览器解释错误，不允许用户继续浏览。

 

 

X-Frame-Options使用X-Frame-Options来杜绝页面中的恶意框架嵌入代码。看到这个标志后

，浏览器应该确保接收到的页面不会显示在IFrame中。这个标题的目的是防止UI伪装攻击，

其中之一就是点击劫持。这种攻击是把诱导页面放在一个完全透明的前景框窗口，而用户认

为他是在点击下面不透明的(被攻击的)页面，实际上他是在点击透明的前景(诱导的)页面。