Open chenxiaochun opened 7 years ago
HTTP首部字段是可以自行扩展的。接下来,我们就介绍一些常用的首部字段进行说明。
此首部字段用于控制网站被嵌套在Frame中时的显示问题。它有两个字段值:
DENY 拒绝
SAMEORIGIN 仅同源域名下的页面匹配时许可。
它是针对跨站脚本攻击(XSS)的一种对策,可指定的字段值:
0 将XSS过滤设置成无效状态
1 将XSS过滤设置成有效状态
X-XSS-Protection: 1
它是Do Not Trace的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。它的字段值:
0 同意被追踪
1 拒绝被追踪
DNT: 1
通过P3P(The Platform for Privacy Preferences,在线隐私偏好平台)技术,可以让Web网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。
要进行P3P的设定,需要以下几步:
在HTTP的多种协议中,通过给非标准参数加上前缀X-,来区别于标准参数。这种简单粗暴的做法有百害而不一益,因此在RFC6648中提议停止该做法。然后对于已经在使用的前缀,不应该要求其变更。
HTTP首部字段是可以自行扩展的。接下来,我们就介绍一些常用的首部字段进行说明。
一、X-Frame-Options
此首部字段用于控制网站被嵌套在Frame中时的显示问题。它有两个字段值:
DENY 拒绝
SAMEORIGIN 仅同源域名下的页面匹配时许可。
二、X-XSS-Protection
它是针对跨站脚本攻击(XSS)的一种对策,可指定的字段值:
0 将XSS过滤设置成无效状态
1 将XSS过滤设置成有效状态
三、DNT
它是Do Not Trace的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。它的字段值:
0 同意被追踪
1 拒绝被追踪
四、P3P
通过P3P(The Platform for Privacy Preferences,在线隐私偏好平台)技术,可以让Web网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。
要进行P3P的设定,需要以下几步: