闲的没事做，因为使用的是别人的模板，就先改一下目前博客残留的一些安全性问题，并做一定优化。

CSP： Content Security Policy php

先在 header.php 中加入
``
其中 script-src 中的 cdn.bootcss.com 'unsafe-inline' 'unsafe-eval' 是模板必须，而 'ssl.google-analytics.com' 是 google-analytics 必要，可以根据模板和自身需求添加删改，更详细的教程建议阅读学习阮一峰的 CSP 详解。
然后需要将原模板的各种内联样式换到外部css中（不能偷懒了）

https 重定向

将 http 强制定向于 https，在 /usr/local/nginx/conf/vhost 配置文件（如果是vhost）中 listen 80; 中加入 rewrite ^(.*)$ https://$host$1 permanent;

HTTP header 的诸多更改

header.php 中加入

其中header内容为以下各项：

HTTP Strict Transport Security

header("Strict-Transport-Security:max-age=63072000; includeSubDomains; preload");

X-Frame-Options

请注意，如果使用frame，请自行选择

header("Content-Security-Policy: frame-ancestors 'none'");
header("X-Frame-Options: DENY");

X-XSS-Protection

header("X-XSS-Protection: 1; mode=block");

X-Content-Type-Options

header("X-Content-Type-Options: nosniff");

总结

其他诸如 CORS、cookie 相关的安全性内容因为博客之前或者已经调整，或者没有用上，就无须更多更改了，若有需要可以自行调整。