1. HTTP HEADERS中包含一个属性X-Content-Type-Options,将其设置为nosniff可禁止浏览器对后端返回的数据进行类型解析,而强制以Content-Type返回的mime-type进行渲染。
  2. HTML5中,iframe会有一个sandbox属性,它可控制限制iframe的行为。
  3. 当请求发出后,若开发者模式Headers下显示Provisional headers are shown(这是Chrome的显示,中文Edge是显示临时标头已显示),表示这个请求根本就没有被发出或者已发出没有接到响应。原因可能是多方面的。
    • 跨域了。
    • 浏览器扩展/插件限制了。
    • 请求超时了。
    • 请求去到缓存了(from disk cache/from memory cache)并没有完成网络通信。
  4. HTML的头部可有一个meta标签,用来控制Referrer Policy,用于去处理是否在请求中携带Referrer告知服务器请求源的域是哪里(会去引用外链的标签a, iframe, img等标签也可设置该属性)。
  5. fetch可设置credentials: 'include',来让请求的响应暴露cookies或必要的headers信息,于此同时,服务器这边必须要在响应头中设定Access-Control-Allow-Credentials: true