添加安全http header

简介

为web站点添加安全相关的response header是一项很有必要的工作。如以下header：

• Content-Security-Policy
• X-Frame-Options
• X-Content-Type-Options
• X-XSS-Protection
• Strict-Transport-Security

Content-Security-Policy

简称CSP，内容安全策略，指定服务器可以加载的资源白名单，涉及各种类型的资源，具体可参考：

X-Frame-Options

防点击劫持，可阻止站点被恶意iframe嵌套

X-Content-Type-Options

X-XSS-Protection

Strict-Transport-Security

实现参考

https://github.com/pengls/dragon-web-security