(chap6 Http首部) 其他首部字段

Posted 2021-06-08 thefist11

HTTP首部字段是可以自行扩展的，Web服务器和浏览器有好几种非标准的首部字段。

1. X-Frame-Options

属于HTTP响应首部，用于控制网站内容在其他Web网站的Frame标签内的显示问题。其主要目的是为了防止点击劫持( clickjacking)攻击。

 eg.  Frame-Options:DENY

1.1 首部字段X-Frame-Options有以下两个可指定的字段值。

· DENY:拒绝
· SAMEORIGIN:仅同源域名下的页面( Top-level-browsing-context )匹配时许可。(比如，当指定http://hackr.jp/sample.html页面为SAMEORIGIN时,那么hackr.jp上所有页面的frame都被允许可加载该页面，而example.com 等其他域名的页面就不行了)

支持该首部字段的浏览器有:Internet Explorer 8、Firefox 3.6.9+、Chrome 4.1.249.1042+、Safari 4+和 Opera 10.50+等。现在主流的浏览器都已经支持。

1.2 能在所有的Web服务器端预先设定好X-Frame-Options字段值是最理想的状态。

eg. 对apache2.conf的配置实例

<IfModule mod_headers.c>
  Header append X-FRAME-OPTIONS "SAMEORIGIN"
</IModule>

2. X-XSS-Protection

首部字段X-XSS-Protection属于HTTP响应首部，它是针对跨站脚本攻击(xSS)的一种对策，用于控制浏览器XSS防护机制的开关。

首部字段X-XSS-Protection可指定的字段值如下。
.0:将XSS过滤设置成无效状态
1:将XSS过滤设置成有效状态

eg. x-XSS-Protection: 1

3. DNT

首部字段DNT属于HTTP请求首部，其中DNT是Do Not Track的简称，意为拒绝个人信息被收集，是表示拒绝被精准广告追踪的一种方法。 0：同意被追踪，1：拒绝被追踪

eg. DNT:1

由于首部字段DNT的功能具备有效性，所以 Web服务器需要对DNT做对应的支持。

4. P3P

首部字段P3P属于HTTP相应首部，通过利用P3P ( The Platformfor Privacy Preferences，在线隐私偏好平台）技术，可以让Web网站上的个人隐私变成一种仅供程序可理解的形式，以达到保护用户隐私的目的。

eg.

P3P:CP="CAo DSP LAW CURa ADMa DEVa TAIa PSAa PSDa =IVAa IvDa OUR BUS IND UNr COM NAV INT"

要进行P3P的设定，需按以下操作步骤：
步骤1:创建P3P隐私
步骤2:创建P3P隐私对照文件后，保存命名在/w3c/p3p.xml步骤3:从P3P隐私中新建Compact policies后，输出到HTTP响应中