Security Kit模块

该模块为Drupal提供了大量的安全加固选项，能降低Web应用被攻击的风险。

##跨域脚本

通过IE和Firefox的X-Content-Security-Policy、Chrome和Safari的X-WebKit-CSP以及Content-Security-Policy（官方名称）的HTTP响应头，来实现内容安全策略。其中包含配置页面，并且对违反CSP的访问记录到Watchdog。

Internet Explorer/Apple Safari/Google Chrome提供了内置的XSS过滤功能，利用XSS-Protection这一HTTP响应头来进行控制浏览器的这些功能。

修复Drupal 6的上传问题，Drupal 7的上传功能合并到了FileField中，所有D7版本没有这一选项。

在HTTP响应头中添加X-Content-Type-Options: nosniff，阻止服务器提供错误的MIME类型和浏览器的upsniff行为。

##跨站点请求伪造

在HTTP请求头中加入Origin。

##点击劫持 参考资料

实现了X-Frame-Options的HTTP响应头。

结合JavaScript + CSS + Noscript，用于提供禁止JavaScript的自定义消息提示。

##SSL/TLS

实现了HTTP Strict Transport Security头（强制要求使用https –译者注），用于防止中间人攻击

##杂项

From-Origin响应头（用于保障页面中嵌入的资源来源于受控范围）。

##文档

所有必要的文档和例子都可以在该模块的配置页面中找到，你还可以在http://www.browserscope.org/?category=security中查看浏览器当前的支持状态。

##已知问题

CSP报告在Chrome浏览器中不可用，Chrome在Menu返回403的情况下不会设置Cookie。