本文介绍四个非标准的但是常用的首部字段。
一,X-Frame-Options
该首部字段是响应首部字段,用于控制网站内容在其它Web网站的Frame标签内的显示问题,其主要目的是为了防止点击劫持。
X-Frame-Options 有三个值:
DENY:
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN: 表示该页面可以在相同域名页面的 frame 中展示。ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。(1)frame 标签会创建包含另外一个文档的内联框架,可以在页面中添加网页,也就是在页面内调用另一个页面。(2)比如你想创建一个网站的集合页面,,在里面添加了一个http://hackr.jp/sample.html的frame。
如果字段值为DENY:则在你的网站中无法点击打开frame的页面。
如果字段值为SAMEORIGIN:如果你网站的域名的结尾为hackr.jp,那么你能点击打开该frame。
如果字段值为ALLOW-FROM,并且它指定的uri包含你网站的域名,那么你能点击打开该frame。
二,X-XSS-PRotection
该首部字段属于响应首部,它是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器XSS防护机制的开关。
举例:
X-XSS-Protection:1
把XSS过滤设置成有效状态。
X-XSS-Protection:0
把XSS过滤设置成无效状态。
三,DNT
该首部字段为请求首部,Do Not Track,用来告知服务器拒绝个人信息被收集。
举例:
DNT:0
同意被追踪
DNT:1
拒绝被追踪。
四,P3P
该首部字段属于响应首部,利用该技术,可以让网站上的个人隐私变成一种仅供程序可理解的形式,来达到保护用户隐私的目的。
举例:
P3P:CP=“CAO DSP LAW CURa ADMa DEVa TAIa PSAa IVAa IVDa OUR BUS IND UNI COM NAV INT”
新闻热点
疑难解答
