10. 什么是安全头（Security Headers）？

安全头（Security Headers）是在HTTP响应头中的一个或多个字段，用于向浏览器传达有关网站安全策略的信息。

它们可以帮助保护网站免受常见的安全威胁，例如跨站脚本攻击（XSS）、跨站请求伪造（CSRF）和点击劫持等。以下是一些常用的安全头及其作用：https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=bb7c8339fae245258616366baf13e19e

Content-Security-Policy (CSP)：指定哪些内容可以加载到网页中，以防止XSS攻击。通过限制允许加载的内容源和类型，CSP可以减少恶意脚本的运行。

X-Frame-Options：用于防止点击劫持攻击。它指示浏览器是否允许网页在<iframe>或<frame>标签中显示，从而防止攻击者将你的网页置于一个透明的iframe中，诱导用户点击。

X-XSS-Protection：启用浏览器内置的跨站脚本攻击(XSS)过滤器。该头部可防止XSS攻击，例如恶意脚本注入。

X-Content-Type-Options：用于防止MIME类型的欺骗攻击。它建议浏览器始终尊重Content-Type标头，并避免尝试猜测响应内容类型。

Strict-Transport-Security (HSTS)：指示浏览器始终通过HTTPS与网站建立安全连接，防止中间人攻击和SSL/TLS剥离攻击。

Referrer-Policy：控制请求头中的Referrer字段，可以限制对网站的来源信息泄露，防止Referrer劫持攻击。