栏目导航:其他
建议先从栏目目录定位同类模块,再根据是否排障需求选择对应文档。
上位页:返回其他栏目目录
同类页:X-Frame-Options响应头说明、X-Frame-Options响应头说明、分享网站模块介绍、电脑版网站如何添加爱番番(原:百度商桥)、如何设置网站关键词和网站描述?
一、功能介绍
HTTP响应头设置功能,常用于相关部分对网站检测漏洞报告中提示没有响应头,您可根据报告中要求,开启勾选对应响应头情况。
注:若未有对应检测报告提及,不建议随意开启响应头功能,不同的响应头作用不同,避免影响您的网站操作跟实际体验。
二、功能说明
【版本】中级版及以上版本
【响应头】不同的响应头作用有所区别,具体作用如下表:
| 响应头 | 作用 |
| X-Frame-Options | 减少/避免点击劫持的攻击(开启仅对绑定域名生效) |
| Strict-Transport-Security | 要求浏览器总是通过 HTTPS 访问网站,生效需要支持有HTTPS证书 |
| X-XSS-Protection | 防范 XSS 攻击 |
| Content-Security-Policy | 用于定义页面可以加载哪些资源,减少和上报 XSS 的攻击,防止数据包嗅探攻击 |
| Referrer-Policy | 增加隐私保护 |
| X-Permitted-Cross-Domain-Policies | 用于指定客户端能够访问的跨域策略文件的类型 |
| X-Download-Options | 禁用 IE 浏览器下的下载框Open按钮,防止 IE 下载文件默认被打开 XSS |
| X-Content-Type-Options | 禁止浏览器执行MIME行为 |
三、操作教程
1. 在哪里开启功能?
在编辑设计页面,点击左侧按钮【设置】,在【高级设置】中勾选“设置HTTPS响应头”,在弹出的设置面板中勾选对应响应头生效。
四、常见问题
Q:我是否必须都要勾选启用,能否不启用,会有什么影响?
A:不需要全部启用,有对应检测报告提到缺漏的响应头,您再对应的开启即可。不建议全部开启,不同响应头作用不同,避免影响您的网站体验。
Q:勾选保存后如何知道相关响应头已经生效?
A:勾选并确认保存设置弹窗后,您访问并刷新当前绑定的网站域名即可生效。
启用前复核建议
以下补充内容用于帮助你在根据检测报告配置 HTTP 响应头之前,先判断是否真的需要开启以及是否会影响站点体验:
- 报告优先:响应头设置建议基于明确的检测结果来处理,不建议为了“看起来更安全”而盲目全部开启。
- 逐项理解:不同响应头对应的作用不同,开启前建议先确认其目标是防护问题、兼容问题还是强制访问策略。
- 生效验证:开启后可使用浏览器开发者工具或在线检测工具查看响应头是否已经按预期返回。
- 回退准备:如果启用后发现页面嵌入、访问方式或兼容性异常,建议及时回退并重新评估设置范围。
继续查看帮助文档与建站服务
如果这篇文档解决了你当前的问题,可以继续回到帮助目录查看同类教程;如果你正在准备企业官网建设、套餐选型或定制开发,也可以继续进入对应服务页了解。