如何爲html和javascript設置X-Content-Type-Options和X-Frame-Options？

Question

我得到以下警報，當我們對ZAP工具測試我們的網址：

1. X-框架 - 選項頭沒有設置
2. Web瀏覽器XSS防護未啓用
3. X-Content-Type的 - 選項報頭Missing

我們已經在REST和Servlet調用中成功設置了X-Frame-options和X-content type-options。但不知道如何在html和Javascripts中設置它們？

任何人都可以提出解決方案。

Answer 1

X-Frame-Options標頭添加在服務器端，而不是客戶端。這是因爲標題用於控制瀏覽器如何呈現頁面。

無論服務器託管您的文件將不得不添加此標頭。 來自here