現在的 browser 支援一堆 HTTP Header 規格,用來防堵各種安全性問題。在「SecureHeaders」看到一包 Ruby Gems,可以針對這堆規格一次搞定,包括了:
- Content Security Policy (CSP),CSP 1.1。
- HTTP Strict Transport Security (HSTS),HSTS Spec。
- X-Frame-Options (XFO),HTTP Header X-Frame-Options。
- X-XSS-Protection,Cross-Site Scripting Filter。
- X-Content-Type-Options,MIME-Handling Change: X-Content-Type-Options: nosniff (Windows)。
就算不是用 Ruby 的人也可以拿文件說明的部份當入口,評估看看系統有哪些地方可以加強。