# 说明
1. 涉及文件路径相对EAS安装目录
2. server*代指多实例,即每个实例需要分别修改
3. 响应头相关样例仅供参考,具体每个参数及值的应用需要根据实际应用情况设置,设置安全级别过高可能会导致系统集成、嵌套应用等场景使用异常
# HTTP响应头相关
1.server参数泄漏框架信息
解决方案:
```
修改文件 apusic\domains\server*\config\vm.options
添加 apusic.http.header.server.enabled=false
```
2.新增参数X-Frame-Options
解决方案:
```
修改文件 apusic\domains\server*\config\vm.options
添加 apusic.http.header.X-Frame-Options.Enable=true
apusic.http.header.X-Frame-Options.value=#param1#
#param1#可选值为
DENY:表示不允许在iframe中嵌套展示此页面,包括同域也不行
SAMEORIGIN:表示可以在同域的iframe中展示此页面,**推荐设置值**
ALLOW-FROM A.com:表示只允许在A.com中嵌套展示此页面
样例 apusic.http.header.X-Frame-Options.Enable=true
apusic.http.header.X-Frame-Options.value=SAMEORIGIN
```
3.其他参数新增
解决方案:
```
修改文件 apusic\domains\serverX\config\vm.options
添加 apusic.http.header.customSize=#param1#
apusic.http.header.name.#param2#=#param3#
apusic.http.header.value.#param4#=#param5#
#param1#:新增的参数的总个数,如1,2,3,4...,仅需定义一次
#param2#:第n个新增的参数名序号,从1开始
#param3#:第n个新增的参数名,可选项很多,如:Content-Security-Policy、X-Content-Type-Options等
#param4#:第n个新增的参数值序号,从1开始
#param5#:第n个新增的参数值,内容根据参数名变化
样例 apusic.http.header.customSize=4
apusic.http.header.name.1=Content-Security-Policy
apusic.http.header.value.1=default-src 'self'
apusic.http.header.name.2=X-Content-Type-Options
apusic.http.header.value.2=nosniff
apusic.h
