使用安全“ X - …” HTTP响应中的标头?
-
06-07-2019 - |
题
我必须在HTTP响应中传递元信息,因此我发现我可以使用响应头,例如“X-MyData:123456”。这样安全吗?我的意思是,客户端代理有可能删除此标头吗?
谢谢!
解决方案
客户端代理可以执行任何想要的操作,但通常不会删除任何标头。
以X-开头的标题通常保留用于非标准用法(即,未来的标准不会引入以X-开头的标题),但代理可以理解它们并选择根据需要修改它们。
其他提示
作为参考,X-header在 x-token =“noreferrer”> RFC 2045 ,用户定义(" X-") rfc / rfc2047.txt“rel =”noreferrer“> RFC 2047 和新闻文章格式草稿。
弃用“X-”的使用应用程序协议中的前缀(BCP,2012年6月):
弃用“X-”大多数应用程序协议的约定 提出有关如何在没有世界的情况下进行的具体建议 标准参数和非标准参数之间的区别
可能是代理服务器或链中的任何中间链接修改标题,但通常不是问题。
通常情况下,指定自定义标头很好,只要它们足够独特,不会与其他人的标头发生冲突,并且您不希望其他任何人使用您的标头。
不隶属于 StackOverflow