支援的端點組態

Strict-Transport-Security

「嚴格運輸安全性」是一種 Web 安全原則，協助保護網站免於通訊協議降級攻擊和 Cookie 劫持。此原則允許網頁伺服器使用安全 HTTPS 連線，且從不透過不安全的 HTTP 通訊協議互動。

X-Frame-Options

X-Frame-Options 標題改良 Web 應用程式免於遭受 Clickjacking 攻擊的保護。這會停用網站上的 iframe，而且不允許其他 iframe 內嵌在您的內容中。

X-XSS-Protection

X-XSS-Protection 允許開發人員變更跨網站指令集安全篩選器的行為。這些篩選器識別不安全的 HTML 輸入，並且阻止台灣載入或移除可能的惡意指令集。

X-Content-Type-Options

此標題通常用於控制 Web 瀏覽器中的 MIME 類型探查功能。如果 Content-Type (內容類型) 標題空白或遺漏，瀏覽器會識別內容並嘗試以適當的方式顯示來源。

Content-Security-Policy

此標題提供額外的安全層保護多種漏洞，例如 XSS、Clickjacking、Protocol Downgrading 和 Frame Injection。如果啟用，這會對瀏覽器提供頁面的方式有重大影響。

X-Permitted-Cross-Domain-Policies

跨網域原則檔案是一款 XML 文件，允許 Adobe Flash Player 或 Adobe Acrobat 等 Web 用戶端跨網域處理資料。

Referrer-Policy

Referrer-Policy 標題管理查閱者資訊，應納入所做的要求內。此安全標題可納入從網站的伺服器到用戶端的通訊中。

Feature-Policy

Feature-Policy 標題提供一種機制，以允許和拒絕在其自己的訊框內使用瀏覽器功能和 API。

Access-Control-Allow-Origin

Access-Control-Allow-Origin 標題納入從一個網域到源自其他網站的要求的回應中，並且識別允許的要求來源。

Expect-CT

這是一種回應型標題，防止使用錯誤發行用於網站的憑證並確保網站不會未收到通知。

Public-Key-Pins

此回應標題是一個安全機制，允許 HTTPS 網站抵擋攻擊者使用錯誤發行或欺詐的憑證進行的模擬。

例如，Strict-Transport-Security 標題得到評級。解釋依據：