浏览器安全响应头统一基线与灰度发布最佳实践

YBB 18 阅读 0 评论 0 点赞

一、基线头集合Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Content-Security-Policy: default-src 'none'; script-src 'self' 'strict-dynamic'; connect-src 'self'; img-src 'self'; style-src 'self'; frame-ancestors 'none'

Referrer-Policy: no-referrer

X-Content-Type-Options: nosniff

Permissions-Policy: camera=(), microphone=(), geolocation=()

Cross-Origin-Opener-Policy: same-origin

Cross-Origin-Embedder-Policy: require-corp

二、灰度切换中间件type Res = { setHeader: (k: string, v: string) => void }

function applyBaseline(res: Res) {

res.setHeader('Strict-Transport-Security', 'max-age=31536000; includeSubDomains; preload')

res.setHeader('Content-Security-Policy', "default-src 'none'; script-src 'self' 'strict-dynamic'; connect-src 'self'; img-src 'self'; style-src 'self'; frame-ancestors 'none'")

res.setHeader('Referrer-Policy', 'no-referrer')

res.setHeader('X-Content-Type-Options', 'nosniff')

res.setHeader('Permissions-Policy', 'camera=(), microphone=(), geolocation=()')

res.setHeader('Cross-Origin-Opener-Policy', 'same-origin')

res.setHeader('Cross-Origin-Embedder-Policy', 'require-corp')

}

function applyStrict(res: Res) {

res.setHeader('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload')

res.setHeader('Content-Security-Policy', "default-src 'none'; script-src 'self' 'strict-dynamic'; connect-src 'self'; img-src 'self'; style-src 'self'; frame-ancestors 'none'; report-to csp-endpoint")

res.setHeader('Referrer-Policy', 'no-referrer')

res.setHeader('X-Content-Type-Options', 'nosniff')

res.setHeader('Permissions-Policy', 'camera=(), microphone=(), geolocation=()')

res.setHeader('Cross-Origin-Opener-Policy', 'same-origin')

res.setHeader('Cross-Origin-Embedder-Policy', 'require-corp')

}

function headersMiddleware(stage: 'baseline' | 'strict') {

return function (_req: any, res: Res, next: Function) {

if (stage === 'baseline') applyBaseline(res)

else applyStrict(res)

next()

}

三、验收清单HSTS开启并包含`includeSubDomains; preload`，仅在HTTPS环境发布；CSP语法正确且默认拒绝。`nosniff`与`no-referrer`设置一致；Permissions-Policy最小化权限集合。灰度切换生效并带`report-to`；COOP/COEP组合提升跨源隔离。

点赞(0) 打赏

本文分类：安全
本文标签：浏览器安全响应统一基线灰度发布最佳实践
浏览次数：18 次浏览
发布日期：2026-02-13 02:23:50
本文链接：https://www.ybb.press/security/5990.html

上一篇 > 流量镜像与验证（Istio/Nginx、影子流量与安全）
下一篇 > 浏览器端存储安全（LocalStorage/IndexedDB/Service Worker）最佳实践

浏览器安全响应头统一基线与灰度发布最佳实践

评论列表共有 0 条评论

发表评论取消回复

浏览器安全响应头统一基线与灰度发布最佳实践

Fetch Metadata 请求头实践：防跨站请求伪造与滥用

Fetch Metadata 请求元数据安全治理：Sec-Fetch 头与跨站威胁缓解实践

Fetch Keepalive请求治理（大小/速率/终止）最佳实践

&quot;Fenced Frames：跨站内容隔离与安全渲染&quot;

评论列表 共有 0 条评论

发表评论 取消回复

"Fenced Frames：跨站内容隔离与安全渲染"

评论列表共有 0 条评论

发表评论取消回复