1. X-Frame-Options

使用 X-Frame-Options 有三个可选的值：

    DENY：浏览器拒绝当前页面加载任何Frame页面

    SAMEORIGIN：frame页面的地址只能为同源域名下的页面

    ALLOW-FROM：origin为允许frame加载的页面地址

不使用有被Frame导致点击劫持的风险。

2.X-XSS-Protection

针对XSS攻击的防护机制

相关内容

3. X-Content-Type-Options

X-Content-Type-Options: nosniff                  禁止MIME嗅探