如何向Firebase托管应用程序添加安全标头

我见过类似的问题，但没有一个能完全回答这个问题。因此，我有一个由Firebase托管的应用程序。我最近对其进行了一些渗透测试，并意识到我需要在网站上添加一些安全标头。

具体是：X-Frame-Options，X-XSS-Protection和X-Content-Type-Options。问题是我真的不知道该怎么做。经过一些研究，我可以看到将标头添加到我的Firebase应用程序的方法是将标头添加到我的firebase.json文件中，我将在这里显示

{
"hosting": {
"site": "xxxxxxxxxxxxxxxxx","public": "dist/xxxxxxxxxxxx","ignore": [
"firebase.json","**/.*","**/node_modules/**"
],"headers" : [ {
"source": "**","headers" : [{
"key" : "access-control-allow-origin","value" : "*"
}]
}],"rewrites": [
{
"source": "**","destination": "/index.html"
}
]
}
}


我需要将它们添加到该标题的“标题”部分吗？

对不起，我们深表歉意。

几乎完整的Firebase安全标头

我刚刚使用了report-uri.com

failed to decode downloaded font
,

"headers" : [ {
"source": "**","headers" : [
{ "key" : "Access-Control-Allow-Origin","value" : "*" },{ "key" : "X-Frame-Options","value" : "BLOCK" },{ "key" : "X-Content-Type-Options","value" : "nosniff" },{ "key" : "X-XSS-Protection","value" : "1; mode=block" }
]
}],

这似乎工作得很好。