我們?cè)谝恍┌踩珯z測(cè)工具中檢測(cè)網(wǎng)站安全時(shí)，經(jīng)常會(huì)出現(xiàn)一些響應(yīng)頭缺失，如下：

X-XSS-Protection響應(yīng)頭缺失

X-Content-Type-Options響應(yīng)頭缺失

Content-Security-Policy響應(yīng)頭缺失

Referrer-Policy響應(yīng)頭缺失

X-Download-Options響應(yīng)頭缺失

Strict-Transport-Security響應(yīng)頭缺失

X-Frame-Options未配置

X-Permitted-Cross-Domain-Policies響應(yīng)頭缺失

在IIS里設(shè)置方法如下：

IIS管理器，如果只設(shè)置一個(gè)網(wǎng)站就只選擇對(duì)應(yīng)網(wǎng)站，如果設(shè)置所有網(wǎng)站就選擇根目錄，再雙擊“HTTP響應(yīng)頭”；右側(cè)的“操作”窗格中，選擇“添加”；輸入名稱和值，再單擊“確定”保存更改。

X-XSS-Protection設(shè)置

X-XSS-Protection : 1; mode=block

X-Content-Type-Options設(shè)置

X-Content-Type-Options：nosniff

Content-Security-Policy設(shè)置

Content-Security-Policy：*（加載所有內(nèi)容）

Referrer-Policy設(shè)置

Referrer-Policy："no-referrer-when-downgrade" always

X-Download-Options設(shè)置

X-Download-Options：noopen

Strict-Transport-Security設(shè)置

Strict-Transport-Security："max-age=63072000; includeSubdomains; preload"

X-Frame-Options配置

X-Frame-Options：SAMEORIGIN
（DENY 禁止所有，SAMEORIGIN只能本地，ALLOW-FROM uri指定網(wǎng)址）

X-Permitted-Cross-Domain-Policies設(shè)置

X-Permitted-Cross-Domain-Policies：none