HTTP 首部字段是可以自行扩展的。所以在 Web 服务器和浏览器的应用上,会出现各种非标准的首部字段。
揭下来,开始学习最常用的首部字段
- X-Frame-Options
- X-XSS-Protection
- DNT
- P3P
1. X-Frame-Options
X-Frame-Options: DENY
其属于 HTTP 响应首部,用于控制网站内容在其他 Web 网站的 Frame 标签内的显示问题。其主要目的是为了防止点击劫持(clickjacking)攻击。
| 值 | 说明 |
|---|---|
| DENY | 拒绝 |
| SAMEORIGIN | 所有同源域名下的页面匹配时许可 |
2. X-XSS-Protection
X-XSS-Protection: 1
首部字段 X-XSS-Protection 属于 HTTP 响应首部,它是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器 XSS 防护机制的开关。
| 值 | 说明 |
|---|---|
| 0 | 将 XSS 过滤设置成无效状态 |
| 1 | 将 XSS 过滤设置成有效状态 |
3. DNT
DNT: 1
首部字段 DNT 属于 HTTP 请求首部,其中 DNT 是 Do Not Track 的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。
| 值 | 说明 |
|---|---|
| 0 | 同意被追踪 |
| 1 | 拒绝被追踪 |
注:由于首部字段DNT的功能具备有效性,所以 Web 服务器需要对 DNT 做对应的支持。**
4. P3P
P3P 属于响应首部,通过利用 P3P 技术,可以使 Web 网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。
提醒
在 HTTP 等多种协议中,通过给非标准参数加上前缀 X-,来区别于标准参数,并使哪些非标准的参数作为扩展变成可能。但在 RFC 6648中已经提议停止该做法。
然而,对已经在使用中的 X- 前缀来说,不应该要求其变更。
