图解HTTP之其它非标准首部字段
chenxiaochun opened this issue · 0 comments
chenxiaochun commented
HTTP首部字段是可以自行扩展的。接下来,我们就介绍一些常用的首部字段进行说明。
一、X-Frame-Options
此首部字段用于控制网站被嵌套在Frame中时的显示问题。它有两个字段值:
-
DENY
拒绝 -
SAMEORIGIN
仅同源域名下的页面匹配时许可。
二、X-XSS-Protection
它是针对跨站脚本攻击(XSS)的一种对策,可指定的字段值:
-
0
将XSS过滤设置成无效状态 -
1
将XSS过滤设置成有效状态
X-XSS-Protection: 1三、DNT
它是Do Not Trace的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。它的字段值:
-
0
同意被追踪 -
1
拒绝被追踪
DNT: 1四、P3P
通过P3P(The Platform for Privacy Preferences,在线隐私偏好平台)技术,可以让Web网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。
要进行P3P的设定,需要以下几步:
- 创建P3P隐私
- 创建P3P隐私对照文件后,保存命名在 /w3c/p3p.html
- 从P3P隐私中新建Compact policies后,输出到HTTP响应中
在HTTP的多种协议中,通过给非标准参数加上前缀X-,来区别于标准参数。这种简单粗暴的做法有百害而不一益,因此在RFC6648中提议停止该做法。然后对于已经在使用的前缀,不应该要求其变更。