html/php中的HTTP头

我正在为一个项目做渗透测试，我正在使用ZAP。它一直告诉我设置这些，所以我这样做，但ZAP一直给我同样的警告

我在php标记的开头使用了这个：

header('X-Content-Type-Options: nosniff');
header('X-Frame-Options=SAMEORIGIN');

这在html文件的开头：

X-Content-Type-Options: nosniff
X-Frame-Options=SAMEORIGIN

---

有人能告诉我为什么这不起作用吗？上次我这样做时，它工作正常。

显示警告文本反MIME嗅探头X-Content-Type-Options未设置为“nosniff”。这允许旧版本的Internet Explorer和Chrome在响应正文上执行MIME嗅探，可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。当前（2014年初）和旧版Firefox将使用声明的内容类型（如果设置了），而不是执行MIME嗅探。这就是它给我的一个，另一个基本上是相同的东西，但对于另一个选项。你把它放在一个HTML文件中吗？@PraveenKumar是的，它在我上一个项目中起作用，当时我不得不解决这些警告。这次不是，我也是这么做的。老兄，老兄。。。ZAP首先是什么？显示警告文本反MIME嗅探头X-Content-Type-Options未设置为“nosniff”。这允许旧版本的Internet Explorer和Chrome在响应正文上执行MIME嗅探，可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。当前（2014年初）和旧版Firefox将使用声明的内容类型（如果设置了），而不是执行MIME嗅探。这就是它给我的一个，另一个基本上是相同的东西，但对于另一个选项。你把它放在一个HTML文件中吗？@PraveenKumar是的，它在我上一个项目中起作用，当时我不得不解决这些警告。这次不是，我也是这么做的。老兄，老兄。。。扎普先是什么？