记录学习的过程

X-XSS-Protection 是一个关键的 HTTP 安全响应头，用于启用浏览器的内置跨站脚本（XSS）过滤功能，从而减少 XSS 攻击的风险。优先使用 Content-Security-Policy (CSP) 的 script-src 指令，提供更全面的 XSS 防护。通过正确配置 X-XSS-Protection 响应头，可有效降低 XSS 攻击风险，提升 Web 应用安全性。现代浏览器（Chrome、Edge、Safari）默认启用 XSS 过滤，但显式设置头可确保旧版浏览器兼容。

X-Content-Type-Options: nosniff 是一个简单但有效的安全措施，能够防止浏览器对响应内容进行 MIME 类型嗅探，从而减少安全风险。X-Content-Type-Options 通过设置 nosniff 指令，告诉浏览器不要对响应内容进行 MIME 类型嗅探，必须严格按照服务器返回的 Content-Type 头处理内容。MIME 类型嗅探是浏览器的一种行为，当服务器未明确指定响应内容的 MIME 类型时，浏览器会尝试根据内容推断其类型。

*使用浏览器开发者工具：**通过浏览器的开发者工具，查看网络请求的响应头，确认是否有缓存相关的指令。**测试缓存行为：**通过多次访问同一页面，观察页面内容是否被缓存。**OWASP ZAP：**一款开源的Web应用安全扫描工具，支持自动化扫描和手动测试。**定期进行安全扫描：**使用Web安全扫描工具定期检查网站，确保没有页面被错误地缓存。**设置正确的HTTP响应头：**确保服务器返回的HTTP响应头中包含禁止缓存的指令。**Nmap：**网络扫描工具，可以结合NSE脚本检测缓存问题。