HTTP 知识量:10 - 42 - 186
HTTP首部字段是可以自行扩展的。所以在Web服务器和浏览器的应用上,会出现各种非标准的首部字段。
首部字段X-Frame-Options属于HTTP响应首部,用于控制网站内容在其他Web网站的Frame标签内的显示问题。其主要目的是为了防止点击劫持(clickjacking)攻击。
X-Frame-Options: DENY
首部字段X-Frame-Options有以下两个可指定的字段值:
DENY:拒绝
SAMEORIGIN:仅同源域名下的页面匹配时许可。
首部字段X-XSS-Protection属于HTTP响应首部,它是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器XSS防护机制的开关。
X-XSS-Protection: 1
首部字段X-XSS-Protection可指定的字段值如下:
0 :将XSS过滤设置成无效状态
1 :将XSS过滤设置成有效状态
首部字段DNT属于HTTP请求首部,其中DNT是Do Not Track的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。
DNT: 1
首部字段DNT可指定的字段值如下:
0 :同意被追踪
1 :拒绝被追踪
首部字段P3P属于HTTP响应首部,通过利用P3P(The Platform for Privacy Preferences,在线隐私偏好平台)技术,可以让Web网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。
P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa => IVAa IVDa OUR BUS IND UNI COM NAV INT"
要进行P3P的设定,需按以下操作步骤进行:
创建P3P隐私;
创建P3P隐私对照文件后,保存命名在/w3c/p3p.xml;
从P3P隐私中新建Compact policies后,输出到HTTP响应中。
在HTTP等多种协议中,通过给非标准参数加上前缀X-,来区别于标准参数,并使那些非标准的参数作为扩展变成可能。但是这种简单粗暴的做法有百害而无一益,因此在“RFC 6648-Deprecating the "X-" Prefix and Similar Constructs in Application Protocols”中提议停止该做法。然而,对已经在使用中的X-前缀来说,不应该要求其变更。
Copyright © 2017-Now pnotes.cn. All Rights Reserved.
编程学习笔记 保留所有权利
MARK:3.0.0.20240214.P35
From 2017.2.6