هل من الآمن استخدام رأس "X-..." في استجابة HTTP؟
https://stackoverflow.com/questions/1810915
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
يجب أن أقوم بتمرير معلومات تعريفية في استجابة HTTP الخاصة بي، لذلك اكتشفت أنه يمكنني استخدام رأس الاستجابة، على سبيل المثال "X-MyData:123456".هل هذا آمن؟أعني أن هناك احتمال أن وكيل العميل إزالة هذا الرأس؟
شكرًا!
المحلول
وكيل العميل يستطيع أن يفعل أي شيء يريده، ولكن بشكل عام لا تجرد أي رؤوس.
ورؤوس بدءا من X- عادة مخصصة للاستخدام غير قياسي (أي أي معيار في المستقبل سوف أعرض رأس بدءا X-)، ولكن وكيل قد فهمها واختيار لتعديلها كما يريد.
نصائح أخرى
كمرجع، يُشار إلى رؤوس X أيضًا باسم x-token في BNF آر إف سي 2045, ، مثل user-defined ("X-") في القسم 5 من آر إف سي 2047 وكرؤوس تجريبية في القسم 4.2.2.1 من تنسيق مقالة الأخبار مسودة.
إهمال استخدام البادئة "X-" في بروتوكولات التطبيق (البنك المركزي، يونيو 2012):
ينخفض اتفاقية "X-" لمعظم بروتوكولات التطبيق ويقدم توصيات محددة حول كيفية المتابعة في عالم دون التمييز بين المعلمات القياسية وغير القياسية
وو<م> هو ممكن لخوادم بروكسي أو أي روابط وسيطة في سلسلة لتعديل رؤوس الخاص بك، ولكن هذا <م> عادة ليست مشكلة.
وفي أكثر الأحيان، وتحديد رؤوس مخصصة على ما يرام طالما انهم فريدة من نوعها بما يكفي كي لا تتعارض مع رؤوس الآخرين وكنت لا تتوقع أي شخص آخر لاستخدام لك.
