使用安全“ X - …” HTTP响应中的标头?

StackOverflow https://stackoverflow.com/questions/1810915

  •  06-07-2019
  •  | 
  •  

我必须在HTTP响应中传递元信息,因此我发现我可以使用响应头,例如“X-MyData:123456”。这样安全吗?我的意思是,客户端代理有可能删除此标头吗?

谢谢!

有帮助吗?

解决方案

客户端代理可以执行任何想要的操作,但通常不会删除任何标头。

以X-开头的标题通常保留用于非标准用法(即,未来的标准不会引入以X-开头的标题),但代理可以理解它们并选择根据需要修改它们。

其他提示

作为参考,X-header在 x-token =“noreferrer”> RFC 2045 用户定义(" X-") rfc / rfc2047.txt“rel =”noreferrer“> RFC 2047 新闻文章格式草稿。

弃用“X-”的使用应用程序协议中的前缀(BCP,2012年6月):

  

弃用“X-”大多数应用程序协议的约定   提出有关如何在没有世界的情况下进行的具体建议   标准参数和非标准参数之间的区别

可能是代理服务器或链中的任何中间链接修改标题,但通常不是问题。

通常情况下,指定自定义标头很好,只要它们足够独特,不会与其他人的标头发生冲突,并且您不希望其他任何人使用您的标头。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top