HTML5 提升网页安全性的实用清单
一 传输与基础防护
- 全站启用 HTTPS,并配置 Strict-Transport-Security(HSTS) 头强制升级到 HTTPS,防止窃听与降级攻击。
- 设置 X-Frame-Options: DENY 或 SAMEORIGIN,或使用 CSP 的 frame-ancestors 指令,阻断点击劫持(Clickjacking)。
- 部署 Content-Security-Policy(CSP),通过白名单限制脚本、样式、图片等资源来源,显著缓解 XSS 与数据注入风险;必要时用 report-uri / report-to 做违规上报与灰度收敛。
- 表单与敏感操作使用 CSRF 令牌(同步令牌或双重提交 Cookie 模式),并在服务端严格校验来源与令牌有效性。
二 利用 HTML5 新特性加固
