HTTP 平安标头是网站平安的重要组成部分。 它们爱护店面免受潜在攻打，例如 XSS、代码注入、点击劫持等。Owasp 很好地概述了能够利用的各种标头。HTTP Strict-Transport-SecurityHSTS 平安标头强制 Web 浏览器仅通过 https 拜访店面。 这能够避免潜在的协定降级和 cookie 劫持。这是一个十分根本的标头，应该默认利用于 …

问题fetch 申请一个 http 协定的接口，理论申请进来的接口是 https 协定的？解决有两种思路：fetch 申请有没有被重写；其余配置影响，让原生 api 出现异常；经查看，fetch 申请没有被重写，所以就着重看下思路二。通过一直的查找， 发现一个meta 标签：<meta http-equiv=”Content-Security-Policy” content=”upgrade-…