Ответ
HTTP-заголовки играют ключевую роль в безопасности, производительности и управлении контентом. Вот важные примеры:
Заголовки безопасности:
-
Content-Security-Policy(CSP) Защищает от XSS-атак, указывая, какие источники контента (скрипты, стили) являются доверенными.Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; -
Strict-Transport-Security(HSTS) Приказывает браузеру всегда использовать HTTPS для данного домена.Strict-Transport-Security: max-age=31536000; includeSubDomains; preload -
X-Frame-OptionsЗащищает от атак clickjacking, запрещая встраивание страницы в<frame>,<iframe>или<object>.X-Frame-Options: DENY -
X-Content-Type-OptionsОтключает MIME-sniffing браузера, заставляя его следовать объявленному типу контента.X-Content-Type-Options: nosniff
Заголовки производительности и кеширования:
-
Cache-ControlУправляет кешированием в браузерах и промежуточных прокси.Cache-Control: public, max-age=3600, must-revalidate -
ETag/Last-ModifiedИспользуются для условных запросов и валидации кеша, что экономит трафик.ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4" Last-Modified: Wed, 21 Oct 2015 07:28:00 GMT
Примечание: Заголовок X-XSS-Protection устарел и его использование не рекомендуется в современных браузерах. Вместо него следует полагаться на Content-Security-Policy.