Est-il prudent d'utiliser l'en-tête «X-…» dans une réponse HTTP?
https://stackoverflow.com/questions/1810915
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je dois transmettre une méta-information dans ma réponse HTTP pour que je puisse utiliser l'en-tête de la réponse, par exemple, "X-MyData: 123456". Est-ce sécuritaire? Je veux dire, il est possible qu'un proxy client supprime cet en-tête?
Merci!
La solution
Un proxy client peut faire tout ce qu'il veut, mais en général, il ne supprime aucun en-tête.
Les en-têtes commençant par un X- sont généralement réservés à une utilisation non standard (c'est-à-dire qu'aucune norme future n'introduira un en-tête commençant par X-), mais un proxy peut les comprendre et choisir de les modifier à sa guise.
Autres conseils
Pour référence, les en-têtes X sont également appelés jeton x dans le fichier BNF de RFC 2045 , en tant que défini par l'utilisateur ("X-") dans la section 5 de RFC 2047 et en-têtes expérimentaux dans la section 4.2.2.1 de Format de l'article de presse brouillon.
utilisation abusive du " X- " Préfixe dans les protocoles d'application (BCP, juin 2012):
déprécie le "X-" convention pour la plupart des protocoles d'application et fait des recommandations spécifiques sur la façon de procéder dans un monde sans la distinction entre les paramètres standard et non standard
Il est possible de modifier vos en-têtes pour les serveurs proxy ou tous les liens intermédiaires de la chaîne, mais cela n'est généralement pas un problème.
Plus souvent qu'autrement, spécifier des en-têtes personnalisés est acceptable à condition qu'ils soient suffisamment uniques pour ne pas entrer en conflit avec les en-têtes d'autres personnes et que vous ne vous attendiez pas à ce que quelqu'un d'autre utilise le vôtre.
