# Cloudflare Pages 安全响应头 — 由 public/_headers 原样下发到产物根。
# 设计：严格 CSP（白名单仅 self + 自托管资源）、HSTS、隐私无第三方。
# 站点完全静态、自托管字体与脚本、无第三方统计/CDN，故所有 *-src 收敛到 'self'。

/*
  Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'; upgrade-insecure-requests
  Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
  X-Content-Type-Options: nosniff
  X-Frame-Options: DENY
  Referrer-Policy: strict-origin-when-cross-origin
  Permissions-Policy: geolocation=(), microphone=(), camera=(), payment=(), usb=(), interest-cohort=()
  Cross-Origin-Opener-Policy: same-origin
  Cross-Origin-Resource-Policy: same-origin

# 指纹化静态资源可长缓存、不可变。
/_astro/*
  Cache-Control: public, max-age=31536000, immutable
