Header

后端response Header正确设置
X-Content-Type-Options：nosniff
X-Frame-Options：DENY
X-XSS-Protection：1; mode=block
Strict-Transport-Security：max-age = 16070400; 请注意，当您设置此标头时，您需要在端口443上运行的Web服务器

X-Frame-Options:DENY 指定网页是否可以以形式嵌入到其他网站，避免点击劫持攻击
X-XSS-Protection: 1; mode=block xss攻击防护报头开关，启动 XSS 过滤。如检测到攻击，浏览器将阻止页面呈现，不过滤页面中的XSS内容
Content Security Policy CSP网页安全政策,CSP 是白名单制度，开发者告诉浏览器哪些外部资源可加载和执行
两种方法启用 CSP。一种通过 HTTP 头Content-Security-Policy字段，另一种通过网页标签
Content Security Policy: script-src 'self' 'unsafe-inline'
script-src 'self' 外部脚本来源开关，允许同源内容
unsafe-inline 允许行内资源行内 JS 和 CSS 、style 属性、onclick 属性等

Strict-Transport-Security
Access-Control-Allow-Origin 跨域资源共享, * 表示允许读取所有域的资源，用户可配置其他域名
Secure:true cookie只通过https传递。
HttpOnly:true cookie无法通过js api获取。
X-Forwarded-For（XFF）用于记录客户端ip或http流经设备ip， 服务器访问日志上一级IP(可能是代理)。要看客户端原始 IP ，请设置X-Forwarded-For报头

X-Forwarded-Host（XFH）

X-Content-Type-Options: nosniff 禁用浏览器的内容嗅探机制
Content-Disposition: attachment[;filename="文件名"] 将数据体设定为附件，浏览器碰到此响应头不直接解析显示内容，而是显示下载对话框

Cookies 是服务器发送给用户浏览器的一小部分数据,浏览器可存储它，可将下次请求发给同一台服务器,通常用于判断两个请求是否来自同一浏览器 - 例如，保持登录(会话管理)。它记住无状态HTTP协议的有状态信息。
Cookies应用场景：保持登录(会话管理)，购物车，游戏成绩、记录用户偏好，主题和其他设置跟踪记录、分析用户行为
创建cookie,当收到请求，服务器发送Set-Cookie包含响应的头部即可，可指定过期日期或持续时间，之后不再发送cookie。此外可设置对特定域和路径限制cookie发送位置。