整理总结前端必知必会的几个实用响应头

一、CORS——跨域资源共享 -------

简介

CORS是一种安全机制，可以让Web应用程序从不同的域访问其资源。应用程序使用一组特殊的请求头和响应头与浏览器协调。通过这种方法，应用程序可以告诉浏览器那些域可以访问其资源。

示例

//后端代码Java语言
response.setHeader("Access-Control-Allow-Origin", "*");//设置允许所有域名访问
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");//设置允许的请求方法
response.setHeader("Access-Control-Max-Age", "3600");//设置缓存时间
response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, X-Custom-Header, HaiYi-Access-Token"); //设置允许的请求头

二、Content-Type——内容类型 -------

简介

Content-Type是HTTP响应头的一部分，它告诉客户端正在发送的数据的MIME类型或数据类型。此数据类型使用Internet标准，如MIME类型，来描述数据的格式。

示例

//后端代码Java语言
String mediaTypeStr = "application/json;charset=utf-8";//设定响应体数据格式
MediaType mediaType = MediaType.parse(mediaTypeStr);
return Response.ok(jsonStr, mediaType);

三、X-Content-Type-Options -------

简介

X-Content-Type-Options 告诉浏览器是否要使用请求中的 Content-Type 的 MIME 类型。如果此标头设置为 nosniff，则客户端保持请求中给定的 MIME 类型不变，并直接在未知类型的响应中显示。

示例

//后端代码Java语言
response.setHeader("X-Content-Type-Options", "nosniff");

四、Content-Security-Policy——内容安全策略 -------

简介

Content-Security-Policy (CSP) 是一种安全协议，可帮助防止这些攻击的发生。通过配置 CSP，您可以减少浏览器与站点之间插入的可能性，并降低可能受到的损害。CSP 提供了精细的控制，用于指定允许与拒绝执行的项（如 JavaScript，图像，并执行命令的选项），并提供了隔离策略，用于最小化任何延伸注入攻击的伤害。

示例

//后端代码Java语言
response.setHeader("Content-Security-Policy", "default-src 'self'; font-src 'self' data:");

总结 ------- 在开发Web应用程序时，了解如何配置和编写HTTP响应头对于确保安全、优化性能和提供正确的数据格式非常重要。以上几个实用的响应头都是前端必知必会的技能。通过制定并实施响应头规范，可以尽量避免攻击或数据泄漏，并改善应用程序的性能。建议开发人员在应用程序中积极使用这些响应头，以便确保基于Web的解决方案具有最佳的安全、性能和Web标准特性。