HTTP X-Content-Type-Options 缺失 

Web 服務器對于 HTTP 請求的響應頭缺少 X-Content-Type-Options，這意味著此網站更易遭受跨站腳本攻擊（XSS）。X-Content-Type-Options 響應頭相當于一個提示標志，被服務器用來提示客戶端一定要遵循在 Content-Type 首部中對 MIME 類型 的設定，而不能對其進行修改，這就禁用了客戶端的 MIME 類型嗅探行為。瀏覽器通常會根據響應頭 Content-Type 字段來分辨資源類型，有些資源的 Content-Type 是錯的或者未定義，這時瀏覽器會啟用 MIME-sniffing 來猜測該資源的類型并解析執行內容。利用這個特性，攻擊者可以讓原本應該解析為圖片的請求被解析為 JavaScript 代碼。

HTTP X-Xss-Protection 缺失

Web 服務器對于 HTTP 請求的響應頭缺少 X-XSS-Protection，這意味著此網站更易遭受跨站腳本攻擊（XSS）。X-XSS-Protection 響應頭是 Internet Explorer、Chrome 和 Safari 的