文章同步于GithubPines-Cheng/blog介绍Meta标签是HTML语言HEAD区域的辅助标签。Meta通常用于定义页面的描述、关键字、最后修改日期和其他元数据。此元数据将为浏览器(如何布局或重新加载页面)、搜索引擎和其他网络服务提供服务。mata标签包含全局属性charset来声明网页的字符编码:contentcontent属性的内容是htp-equiv或name属性的值,具体取决于哪个你用的一个。http-equiv该属性可以包含HTTP头的名称,该属性的英文全称是http-equivalent。它定义了可以改变服务器和用户代理行为的指令。该指令的值在content属性中定义,可以是以下之一:content-language(过时)定义页面的默认语言。它可以被任何元素上的lang属性覆盖。Pragma阻止浏览器访问本地计算机缓存中的页面内容。例如:expires可以用来设置网页的过期时间。网页一旦过期,必须重新传输到服务器。缓存控制指定请求和响应遵循的缓存机制。有几种用法:no-cache:先发送请求,向服务器查询资源是否有变化,没有变化则使用缓存。no-store:不允许缓存,每次都要去服务器下载完整的响应。(安全措施)public:所有响应都被缓存,但不是必需的。因为max-age也可以达到private同样的效果:只为单个用户缓存,所以不允许relay缓存。(例如,CDN不允许缓存私有响应)max-age:表示在当前请求开始时响应可以被缓存和重用多长时间,而不需要去服务器重新请求。例如:max-age=60表示响应可以被缓存并再使用60秒。content-security-policy允许页面作者定义当前页面的内容策略。内容策略主要指定允许的服务器地址和脚本端点,这有助于防止跨站点脚本攻击。CSP的本质是白名单系统。开发者明确告诉客户端哪些外部资源可以加载执行,相当于提供了一个白名单。它的实现和执行全部由浏览器完成,开发者只需要提供配置即可。CSP大大增强了网页的安全性。即使攻击者发现了漏洞,他们也无法注入脚本,除非他们也获得了白名单中受信任主机的控制权。有两种方法可以启用CSP。一种是通过HTTP头信息的Content-Security-Policy字段。内容安全策略:脚本源“自我”;对象源“无”;style-srccdn.example.orgthird-party.org;child-srchttps:另一种是通过网页的标签。在上面的代码中,CSP做了如下配置:脚本:只信任当前域名
