当前位置:首页>HTTP>HTTP Header>其他 Header字段

其他 Header字段

作者:微学网发布时间:2019-09-07 15:38:39

HTTP 首部字段是可以自行扩展的。 所以在 Web 服务器和浏览器的应用上, 会出现各种非标准的首部字段。

X-Frame-Options

X-Frame-Options: DENY

首部字段 X-Frame-Options 属于 HTTP 响应首部, 用于控制网站内容在其他 Web 网站的 Frame 标签内的显示问题。 其主要目的是为了防止点击劫持(clickjacking) 攻击。

X-Frame-Options 有三个可能的值:

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/
  • deny
    表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

  • sameorigin
    表示该页面可以在相同域名页面的 frame 中展示。

  • allow-from uri
    表示该页面可以在指定来源的 frame 中展示。

X-XSS-Protection

HTTP X-XSS-Protection 响应头是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript (‘unsafe-inline’)时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
  • 0
    禁止XSS过滤。

  • 1
    启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。

  • 1;mode=block
    启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

  • 1; report=<reporting-URI> (Chromium only)
    启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。

DNT

首部字段 DNT 属于 HTTP 请求首部, 其中 DNT 是 Do Not Track 的简称, 意为拒绝个人信息被收集, 是表示拒绝被精准广告追踪的一种方法。

首部字段 DNT 可指定的字段值如下。

  • 0 : 同意被追踪

  • 1 : 拒绝被追踪

由于首部字段 DNT 的功能具备有效性, 所以 Web 服务器需要对 DNT做对应的支持

P3P

P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa

首部字段 P3P 属于 HTTP 相应首部, 通过利用 P3P(The Platform for Privacy Preferences, 在线隐私偏好平台) 技术, 可以让 Web 网站上的个人隐私变成一种仅供程序可理解的形式, 以达到保护用户隐私的
目的。

要进行 P3P 的设定, 需按以下操作步骤进行。

步骤 1: 创建 P3P 隐私
步骤 2: 创建 P3P 隐私对照文件后, 保存命名在 /w3c/p3p.xml
步骤 3: 从 P3P 隐私中新建 Compact policies 后, 输出到 HTTP 响应中