安全响应头与浏览器策略（X-Content-Type-Options、Referrer-Policy、Permissions-Policy）

安全响应头与浏览器策略（X-Content-Type-Options、Referrer-Policy、Permissions-Policy）概述合理的响应头可防止 MIME 嗅探、限制引用来源信息泄露与硬件能力滥用，提升整体安全基线。关键实践与参数`X-Content-Type-Options: nosniff` 防止浏览器 MIME 嗅探引发 XSS。`Referrer-Policy` 推荐 `strict-origin-when-cross-origin` 兼顾隐私与分析。`Permissions-Policy` 限制功能，如 `geolocation=(), microphone=(), camera=()`。推荐配置示例X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin Permissions-Policy: geolocation=(), microphone=(), camera=(), interest-cohort=() 验证方法DevTools 检查响应头生效；模拟跨域导航验证 Referrer 行为。功能调用被拒绝时应返回权限错误；记录审计日志。安全扫描工具检出头部缺失与误配。注意事项与 CSP 配合使用，避免互相覆盖或放宽。评估业务对 Referrer 的依赖，避免影响统计与跳转。Permissions-Policy 需兼容不同浏览器实现差异。