#### 為什麼要配置HTTP響應頭? > 不知道各位有沒有被各類XSS攻擊、**點選劫持** (ClickJacking、 frame 惡意引用等等方式騷擾過，百度聯盟被封就有這些攻擊的功勞在裡面。為此一直都在搜尋相關防禦辦法，至今效果都不是很好，最近發現其實各個瀏覽器本身提供了一些安全相關的響應頭，使用這些響應頭一般只需要修改伺服器配置即可，不需要修改程式程式碼，成本很低。至於具體的效果只能是拭目以待了，但是感覺還是有一定的效果的。  > 而這些HTTP響應頭在我們部署 Nginx 的時候經常會被忽略掉，個人感覺這是一個比較嚴重的“疏忽”，加上還是很有必要的，如果有條件最好是部署一個適合自己站點的`X-Content-Security-Policy`響應頭。 ##### 點選劫持 ```python # 點選劫持（ClickJacking）是一種視覺上的欺騙手段。大概有兩種方式， # 一是攻擊者使用一個透明的iframe，覆蓋在一個網頁上，然後誘使使用者在該頁面上進行操作，此時使用者將在不知情的情況下點選透明的iframe頁面； # 二是攻擊者使用一張圖片覆蓋在網頁，遮擋網頁原有位置的含義; ``` #### X-Frame-Options響應頭 > `X-Frame-Options HTTP` 響應頭是微軟提出來的一個HTTP響應頭，主要用來給瀏覽器指示允許一個頁面可否在 ``, `