Spring Security 提供了一组默认的与安全相关的 HTTP 响应标头，以提供安全的默认值。

Spring Security 的默认设置是包含以下标头：

如果默认值不能满足您的需求，您可以轻松地从这些默认值中删除、修改或添加标头。 有关每个标头的其他详细信息，请参阅相应的部分：

Spring Security 的默认设置是禁用缓存以保护用户的内容。

如果用户通过身份验证查看敏感信息，然后注销，我们不希望恶意用户能够单击后退按钮查看敏感信息。 默认情况下发送的缓存控件标头为：

为了在默认情况下安全起见，Spring Security 默认添加这些标头。 但是，如果您的应用程序提供自己的缓存控制标头，则 Spring Security 会退出。 这允许应用程序确保可以缓存静态资源（例如 CSS 和 JavaScript）。

从历史上看，包括 Internet Explorer 在内的浏览器会尝试使用内容嗅探来猜测请求的内容类型。 这允许浏览器通过猜测未指定内容类型的资源上的内容类型来改善用户体验。 例如，如果浏览器遇到未指定内容类型的 JavaScript 文件，它将能够猜测内容类型，然后运行它。

内容嗅探的问题在于，这允许恶意用户使用多语言（即作为多种内容类型有效的文件）来执行 XSS 攻击。 例如，某些网站可能允许用户将有效的 postscript 文档提交到网站并查看它。 恶意用户可能会创建一个 postscript 文档，该文档也是一个有效的 JavaScript 文件，并对其进行 XSS 攻击。

默认情况下，Spring Security 通过向 HTTP 响应添加以下标头来禁用内容嗅探：

当您输入银行的网站时，您是输入还是输入？ 如果省略该协议，则可能容易受到中间人攻击。 即使网站执行重定向到 ，恶意用户也可以拦截初始 HTTP 请求并操纵响应（例如，重定向到并窃取其凭据）。mybank.example.comhttps://mybank.example.comhttpshttps://mybank.example.comhttps://mibank.example.com

许多用户省略了该协议，这就是创建 HTTP 严格传输安全 （HSTS） 的原因。 一旦被添加为 HSTS 主机，浏览器就可以提前知道对 mybank.example.com 的任何请求都应解释为 . 这大大降低了中间人攻击发生的可能性。httpsmybank.example.comhttps://mybank.example.com

将站点标记为 HSTS 主机的一种方法是将主机预加载到浏览器中。 另一种方法是将标头添加到响应中。 例如，Spring Security 的默认行为是添加以下标头，该标头指示浏览器将域视为 HSTS 主机一年（非闰年有 31536000 秒）：Strict-Transport-Security

可选指令指示浏览器也应将子域（如 ）视为 HSTS 域。includeSubDomainssecure.mybank.example.com

可选指令指示浏览器应将域作为 HSTS 域预加载到浏览器中。 有关 HSTS 预加载的更多详细信息，请参阅 hstspreload.org。preload

HTTP 公钥固定 （HPKP） 向 Web 客户端指定要与特定 Web 服务器一起使用的公钥，以防止使用伪造证书的中间人 （MITM） 攻击。 如果使用得当，HPKP 可以添加额外的保护层，防止证书泄露。 然而，由于 HPKP 的复杂性，许多专家不再推荐使用它，Chrome 甚至取消了对它的支持。

有关不再推荐 HPKP 的更多详细信息，请阅读 HTTP 公钥固定死了吗？我正在放弃 HPKP。

将您的网站添加到框架中可能是一个安全问题。 例如，通过使用巧妙的CSS样式，用户可能会被诱骗点击他们不想要的东西。 例如，登录到其银行的用户可能会单击向其他用户授予访问权限的按钮。 这种攻击被称为点击劫持。

有多种方法可以缓解点击劫持攻击。 例如，为了保护旧版浏览器免受点击劫持攻击，可以使用帧中断代码。 虽然不完美，但帧中断代码是您可以为旧版浏览器做的最好的。

解决点击劫持问题的更现代方法是使用 X-Frame-Options 标头。 默认情况下，Spring Security 通过与以下标头一起使用来禁用在 iframe 中呈现页面：

某些浏览器内置了过滤反射的 XSS 攻击的支持。 该过滤器在主要浏览器中已被弃用，当前 OWASP 的建议是将标头显式设置为 0。

默认情况下，Spring Security 使用以下标头阻止内容：

内容安全策略 （CSP） 是 Web 应用程序可用于缓解内容注入漏洞（如跨站点脚本 （XSS））的一种机制。 CSP 是一种声明性策略，它为 Web 应用程序作者提供了一种工具，用于声明并最终通知客户端（用户代理）有关 Web 应用程序预期从中加载资源的源。

Web 应用程序可以通过在响应中包含以下 HTTP 标头之一来使用 CSP：

这些标头中的每一个都用作向客户端传递安全策略的机制。 安全策略包含一组安全策略指令，每个指令负责声明特定资源表示形式的限制。

例如，Web 应用程序可以通过在响应中包含以下标头来声明它期望从特定的受信任源加载脚本：

用户代理会阻止尝试从指令中声明的其他源加载脚本。 此外，如果在安全策略中声明了 report-uri 指令，则用户代理将向声明的 URL 报告违规。script-src

例如，如果 Web 应用程序违反了声明的安全策略，则以下响应标头指示用户代理将违规报告发送到策略指令中指定的 URL。report-uri

违规报告是标准的 JSON 结构，可由 Web 应用程序自己的 API 或公共托管的 CSP 违规报告服务（如 report-uri.io/）捕获。

标头为 Web 应用程序作者和管理员提供了监视安全策略而不是强制执行安全策略的功能。 此标头通常用于试验或开发站点的安全策略。 当策略被视为有效时，可以改用标头字段来强制执行该策略。Content-Security-Policy-Report-OnlyContent-Security-Policy

给定以下响应标头，该策略声明可以从两个可能的来源之一加载脚本。

如果站点违反此策略，则通过尝试从 加载脚本，用户代理会向指令指定的声明的 URL 发送违规报告，但仍允许违规资源加载。evil.example.comreport-uri

将内容安全策略应用于 Web 应用程序通常是一项艰巨的任务。 以下资源可能会为您的网站制定有效的安全策略提供进一步的帮助：

内容安全策略简介

CSP 指南 - Mozilla 开发者网络

W3C 候选推荐

反向链接策略是 Web 应用程序可用于管理反向链接字段的一种机制，该字段包含最后一个 用户所在的页面。

Spring Security 的方法是使用 Referrer Policy 标头，它提供不同的策略：

Referrer-Policy 响应标头指示浏览器让目标知道用户以前所在的源。

功能策略是一种机制，它允许 Web 开发人员有选择地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。

借助功能策略，开发人员可以选择加入一组“策略”，以便浏览器对整个网站中使用的特定功能强制执行。 这些策略限制网站可以访问的 API 或修改浏览器对某些功能的默认行为。

权限策略是一种机制，允许 Web 开发人员有选择地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。

借助权限策略，开发人员可以选择加入一组“策略”，以便浏览器对整个站点中使用的特定功能强制执行。 这些策略限制网站可以访问的 API 或修改浏览器对某些功能的默认行为。

清除站点数据是一种机制，当 HTTP 响应包含以下标头时，可以删除任何浏览器端数据（cookie、本地存储等）：

这是在注销时执行的一个很好的清理操作。

Spring Security 具有一些机制，可以方便地将更常见的安全标头添加到您的应用程序中。 但是，它还提供了钩子来启用添加自定义标头。