HTTP 协议中 Web 安全相关的 HTTP 头

（参考：https://imququ.com/post/web-security-and-response-header.html#toc-0）

Content-Security-Policy

1. 只允许本站资源：
   Content-Security-Policy: default-src ‘self’
2. 允许本站的资源以及任意位置的图片以及http://trustedscripts.example.com 下的脚本：
   Content-Security-Policy: default-src ‘self’; img-src *; script-src http://trustedscripts.example.com

secure/HttpOnly cookie

1. secure属性
   当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。
2. HttpOnly属性
   如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。

X-XSS-Protection: 1; mode=block

指定 1 为开启浏览器 XSS 防御机制。
指定 mode=block 为当浏览器检测到 XSS 攻击是不再渲染页面。