缺少“Content-Security-Policy”头
nginx 中配置：

add_header Content-Security-Policy "default-src 'self';img-src * data:";

缺少“X-Content-Type-Options”头

add_header X-Xss-Protection "1; mode=block";

缺少“X-XSS-Protection”头

add_header X-Xss-header  “1;mode=block”;

修改“Access-Control-Allow-Origin”头以仅获取允许的站点

add_header Access-Control-Allow-Origin *;    # add_header Access-Control-Allow-Origin *”  中的*代表任何网站都可以跳转到这个根目录，如果将*设置成www.a.com则只允许www.a.com访问该站点的根目录。

#允许跨域请求的域，* 代表所有

add_header 'Access-Control-Allow-Origin' *;
更具生产环境的需要也考虑安全一般都是只允许同域名进行跨域
add_header X-Frame-Options SAMEORIGIN;
但是又想要个别域名可以进行跨域需要这样配置
add_header X-Frame-Options SAMEORIGIN;
add_header Content-Security-Policy "frame-ancestors http://域名";

#允许请求的header

add_header 'Access-Control-Allow-Headers' *;

允许带上cookie请求

add_header 'Access-Control-Allow-Credentials' 'true';

允许请求的方法，比如 GET,POST,PUT,DELETE

add_header 'Access-Control-Allow-Methods' *;