图解HTTP学习笔记10：其他非标准的HTTP首部字段

HTTP首部字段是可以自行扩展的。所以在Web服务器和浏览器的应用上，会出现各种非标准的首部字段。

• • • X-Frame-Options
    • X-XSS-Protection
    • DNT
    • P3P

X-Frame-Options

• 属于HTTP响应首部。
• 用于控制网站内容在其他Web网站的Frame标签内的显示问题。其主要目的是为了防止点击劫持(clickjacking) 攻击（上层页面透明用户只看到下层页面以为点击的是上层页面其实点击的是下层页面）。首部字段X-Frame -Options有以下三个可指定的字段值。
  • DENY:拒绝X-Frame-Options: DENY
  • SAMEORIGIN :仅同源域名下的页面(Top-level-browsing-context)匹配时许可。(比如， 当指定http://hackr.jp/sample.html页面为SAMEORIGIN时，那么hackr.jp- 上所有页面的frame都被允许可加载该页面，而example.com等其他域名的页面就不行了)
  • ALLOW-FROM: 白名单限制。

X-XSS-Protection

• 属于HTTP响应首部。
  首部字段X-XSS-Protection属于HTTP响应首部，它是针对跨站脚本攻击(XSS)的一种对策，用于控制浏览器XSS防护机制的开关。首部字段X-XSS-Protection可指定的字段值如下。X-XSS-Protection: 1
  • 0:将XSS过滤设置成无效状态。
  • 1:将XSS过滤设置成有效状态。

DNT

• 属于HTTP请求首部，其中DNT是Do Not Track的简称，意为拒绝个人信息被收集，是表示拒绝被精准广告追踪的一种方法。由于首部字段DNT的功能具备有效性，所以Web服务器需要对DNT做对应的支持。首部字段DNT可指定的字段值如下。DNT: 1
  • 0:同意被追踪
  • 1 :拒绝被追踪

P3P

• 属于HTTP响应首部。
• 通过利用P3P (The Platform for Privacy Preferences，在线隐私偏好平台)技术，可以让Web网站上的个人隐私变成一种仅供程序可理解的形式，以达到保护用户隐私的目的。P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa
• 要进行P3P的设定，需按以下操作步骤进行。
  步骤1:创建P3P隐私。
  步骤2:创建P3P隐私对照文件后，保存命名在/w3c/p3p.xml。
  步骤3:从P3P隐私中新建Compactpolicies后，输出到HTTP响应中。

协议中对X-前缀的废除:
在HTTP等多种协议中，通过给非标准参数加上前缀X-，来区别于标准参数，并使那些非标准的参数作为扩展变成可能。但是这种简单粗暴的做法有百害而无一益， 因此在“RFC 6648 - Deprecating the “X-” Prefix and Similar Constructs in Application Protocols"中提议停止该做法。然而，对已经在使用中的X-前缀来说，不应该要求其变更。

标签：10,HTTP,XSS,首部,DNT,非标准,P3P,页面
来源： https://blog.csdn.net/m0_55005311/article/details/114781600