如何在Next.js中添加安全标头？

在next.config.js中添加headers()函数。该函数返回一个标头对象数组，每个对象有一个来源模式和一个{key, value}对数组。Vercel部署也支持通过vercel.json添加标头。

添加CSP会破坏我的网站吗？

严格的CSP可能会阻止内联脚本和样式（如果您的代码使用它们）。首先使用Content-Security-Policy-Report-Only在生产中监控违规而不破坏任何东西，然后逐步收紧策略。

HTTPS存在、HSTS和X-Content-Type-Options标记为关键（最高扣分）。CSP、X-Frame-Options和Permissions-Policy为高。信息泄露（服务器标头披露）为中。

HTTP安全标头是单行服务器配置，指示浏览器如何处理您网站的内容。它们可以防止各种攻击——从点击劫持到跨站脚本——无需对应用程序代码进行任何更改。

CSP是防止XSS攻击的最强大标头。它定义了一个允许加载脚本、样式、图像和其他资源的来源白名单。

从仅报告策略开始，在强制执行之前审计违规：

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-violations

HSTS强制浏览器对您的域名的所有未来请求使用HTTPS，即使用户输入 http://。

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

防止您的页面被嵌入到其他网站的iframe中（点击劫持）。现代CSP frame-ancestors 指令取代了旧的 X-Frame-Options 标头。

阻止浏览器对响应进行MIME嗅探。一行，最大保护：

X-Content-Type-Options: nosniff

控制在传出请求中包含多少引用信息。strict-origin-when-cross-origin 是推荐的默认值。

限制从您的页面和嵌入的第三方内容访问浏览器API（摄像头、麦克风、地理位置）。即使您不使用这些API，限制它们也可以防止第三方脚本滥用它们。

AISeen安全评分审计所有六个关键标头以及HTTPS配置、cookie标志和信息泄露（响应标头中的服务器版本披露）。