1.6.1 【必须】设置正确的HTTP响应包类型

    • 响应头Content-Type与实际响应内容,应保持一致。如:API响应数据类型是json,则响应头使用;若为xml,则设置为text/xml

    1.6.2 【必须】添加安全响应头

    • 所有接口、页面,添加响应头X-Frame-Options。按需合理设置其允许范围,包括:、SAMEORIGINALLOW-FROM origin。用法参考:

    1.6.3【必须】外部输入拼接到HTTP响应头中需进行过滤

    • 应尽量避免外部可控参数拼接到HTTP响应头中,如业务需要则需要过滤掉\r、等换行符,或者拒绝携带换行符号的外部输入。

    1.6.4【必须】外部输入拼接到response页面前进行编码处理