使用しても安全です“ X-…” HTTP応答のヘッダー?
-
06-07-2019 - |
質問
HTTP応答でメタ情報を渡す必要があるため、応答ヘッダー、たとえば「X-MyData:123456」を使用できることがわかりました。それは安全ですか?クライアントプロキシがこのヘッダーを削除する可能性がありますか?
ありがとう!
解決
クライアントプロキシは必要なことは何でもできますが、通常はヘッダーを削除しません。
X-で始まるヘッダーは通常、非標準の使用法のために予約されています(つまり、将来の標準ではX-で始まるヘッダーは導入されません)。
他のヒント
参照用に、X-ヘッダーはx-token とも呼ばれます= "noreferrer"> RFC 2045 、
" X-"の使用の廃止アプリケーションプロトコルのプレフィックス(BCP、2012年6月):
" X-"は非推奨です。ほとんどのアプリケーションプロトコルの規則と せずに世界で進む方法について具体的な勧告を行います 標準パラメータと非標準パラメータの違い
プロキシサーバーまたはチェーン内の中間リンクがヘッダーを変更することは できますが、これは通常 には問題ありません。
多くの場合、カスタムヘッダーは、他の人のヘッダーと競合しないほど一意であり、他の人が自分のヘッダーを使用することを期待しない限り、カスタムヘッダーを指定しても問題ありません。
所属していません StackOverflow