打开一个网页,浏览器和服务器之间其实已经悄悄交换了几十个信息。其中,HTTP响应头(Response Headers)就是服务器发给浏览器的“小纸条”,上面写着怎么处理这次请求的结果。
响应头长什么样?
当你用浏览器开发者工具(F12 → Network → 点击某个请求 → Response Headers),能看到类似这样的内容:
HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 2468
Server: nginx/1.18.0
Cache-Control: public, max-age=3600
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000; includeSubDomains每一行都是一个键值对,冒号左边是头字段名,右边是它的值。这些字段不显示在页面上,但深刻影响着浏览器行为、缓存策略、安全边界甚至SEO效果。
几个关键响应头的实际作用
Content-Security-Policy(CSP) 是现代网站防XSS攻击的主力。比如设置:
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com浏览器就会拒绝执行任何来自非白名单域名的脚本——哪怕页面被注入了恶意