X-Frame-Options配置
他的值有三个:
(1)DENY --- 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
(2)SAMEORIGIN --- 表示该页面可以在相同域名页面的 frame 中展示。
(3)ALLOW-FROM https://example.com/ --- 表示该页面可以在指定来源的 frame 中展示。
X-XSS-Protection
0(禁用XSS过滤器/审核员)
1(删除不安全的部分;如果没有X-XSS-Protection标题,这是默认设置)
1; mode = block(如果找到XSS,则不要渲染文档)
header 部分参数
header("Location:http://www.baidu.com");
heaer("Content-type:text/html;charset=utf-8");
返回字符串类型
header("Content-type:text/plain;charset=utf-8");
header('Content-Type:application/json; charset=utf-8');
header('Cache-Control: no-cache, must-revalidate');
header("Access-Control-Allow-Origin: {$this->config->item('allow_header')}"); // 允许任何访问(包括ajax跨域)
header('Access-Control-Allow-Credentials: true');
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept");