Команда ниже не позволяет браузеру автоматически выбирать тип, если тип файла не ясен: Набор заголовков X-Content-Type-Options nosniff X-XSS защита Этот заголовок Secutiy предотвращает рефлексивное межсайтовое выполнение сценариев. Код вводится через URL-адрес или параметр POST, который затем отображается пользователю. Но это можно легко предотвратить с помощью следующей команды: Набор заголовков X-XSS-Protection "1; mode=block" Строгая транспортная безопасность Заголовок HTTP Strict-Transport-Security гарантирует, что без HTTPS больше не будет запросов.
По сути, он сообщает браузеру, что веб-сайт требует HTTPS. Таким образом, если важность базы данных юристов кто-то попытается использовать HTTP или провести атаку по соответствующим ссылкам, браузер автоматически перенаправит на HTTPS-версию сайта, что сделает подобные атаки невозможными. Заголовок HTTP Strict-Transport-Security работает аналогично функции кэширования, поскольку он определяет, что доступ к странице возможен только через HTTPS в течение нескольких месяцев (период выбирается свободно).
И только через HTTPS. Поэтому заранее проверьте, все ли работает правильно. Набор заголовков Strict-Transport-Security "max-age=31557600" env=HTTPS Политика безопасности контента Заголовок Content-Security-Policy немного сложен. Его можно использовать для определения того, какие источники подходят для каких типов файлов. Таким образом вы можете указать, что файлы CSS могут поступать только из вашего собственного домена, а это означает, что внешние файлы CSS игнорируются.