CSRF Cross-Site Request Forgery 跨站點(diǎn)偽造請(qǐng)求 釣魚網(wǎng)站通過獲取用戶賬戶信息，進(jìn)行真實(shí)網(wǎng)站操作獲取用戶賬戶資產(chǎn)
CORS Cross-Origin Request 瀏覽器同源策略，只在瀏覽器內(nèi)有效。在當(dāng)前域名請(qǐng)求其他域名XHR會(huì)出現(xiàn)。解決方案
配置第三方響應(yīng)頭
access-control-allow-credentials: 是否允許cookie
access-control-allow-origin: 允許訪問的域名
access-control-allow-methods: 允許訪問的方法
XSS Cross-Site Scripting 腳本注入攻擊。通過在打開網(wǎng)站注入腳本實(shí)現(xiàn)獲取用戶信息或者對(duì)服務(wù)器發(fā)起攻擊
CSP Content Security Policy 內(nèi)部安全測試，通過指定應(yīng)被視為腳本有效來源的域，Web瀏覽器將僅執(zhí)行從這些白名單域加載的腳本。CSP是通過Content-Security-Policy HTTP標(biāo)頭設(shè)置的。
HSTS HTTP Strict Transport Security 通過允許服務(wù)器聲明瀏覽器應(yīng)僅使用HTTPS連接與其不進(jìn)行交互，而不能使用HTTP來防止協(xié)議降級(jí)攻擊和cookie劫持。 并且瀏覽器應(yīng)始終將所有使用HTTP的訪問嘗試都轉(zhuǎn)換為HTTPS，例如HTTPS。 通過重寫所有鏈接以使用HTTPS代替HTTP。 通過透明地將https連接轉(zhuǎn)換為純http來防止竊聽和中間人攻擊。 例如，您可能連接到機(jī)場的免費(fèi)wifi服務(wù)以訪問您的銀行網(wǎng)站，但訪問點(diǎn)實(shí)際上是黑客的筆記本電腦，該筆記本電腦會(huì)進(jìn)行MITM攻擊并將您重定向到該銀行網(wǎng)站的克隆。 只要您至少通過HTTPS訪問銀行網(wǎng)站一次（并且銀行使用HSTS），HSTS便會(huì)在這種情況下提供安全性，瀏覽器將完全拒絕此請(qǐng)求。 該頁面包含有關(guān)為Nginx配置HSTS的詳細(xì)信息。
HPKP HTTP Public Key Pinning HTTP公鑰固定可通過為瀏覽器提供一組公鑰來使HTTPS網(wǎng)站使用欺詐性獲得的SSL證書來抵制假冒，這是將來可信任的唯一連接到同一來源的公鑰。 與過去使用Comodo發(fā)生的情況一樣，這可提供安全保護(hù)，以防止受到破壞的證書頒發(fā)機(jī)構(gòu)。 在上述機(jī)場場景中，如果黑客也有從銀行騙取的證書，那么僅HSTS不能保護(hù)您-但是使用HPKP，即使這種攻擊也可以緩解。 這是首次使用時(shí)信任的技術(shù)。 HPKP最終將被Expect-CT標(biāo)頭取代。 有關(guān)HPKP的更多信息。
Set-Cookie 這是一個(gè)相當(dāng)標(biāo)準(zhǔn)的標(biāo)頭，到目前為止是頁面上最古老的標(biāo)頭，但它也是正確配置最重要（也是最簡單）的標(biāo)頭之一。 這可以通過設(shè)置一些指令來完成。 SameSite：Strict指令通過從所有跨域請(qǐng)求中剝離cookie來防止CSRF攻擊。 Secure指令確保cookie僅在https連接中使用過-從而提供了比HPKP和HSTS更高的安全性。 HttpOnly指令確保JavaScript無法訪問cookie。 通常，您將要設(shè)置所有三個(gè)。 有關(guān)Set-Cookie的更多信息