HTTP安全标头是网站安全的基本组成部分http协议有许多可以增强网站安全性，减少用户被攻击的安全策略，部署这些安全标头有助于保护您的网站免受XSS,代码注入，clickjacking的侵扰。
当用户通过浏览器访问站点时，服务器使用HTTP响应头进行响应。
这些header告诉浏览器如何与站点通信。
它们包含了网站的metadata。
您可以利用这些信息概括整个通信并提高安全性。
接下来小编就给大家详细介绍HTTP协议安全相关header： 1、强制使用https传输，HTTP Strict Transport Security (HSTS) 在各种劫持小广告+多次跳转的网络环境下，可以有效缓解此类现象。
同时也可以用来避免从https降级到http攻击(SSL Strip) 服务器设置响应：Strict-Transport-Security:max-age=31536000 ;includeSubDomain即可开启。
该策略只适用于80、443端口。
2、安全策略（CSP） HTTP内容安全策略响应标头通过赋予网站管理员权限来限制用户被允许在站点内加载的资源，从而为网站管理员提供了一种控制感。
换句话说，您可以将网站的内容