Безопасно ли использовать заголовок «X-…» в ответе HTTP?
-
06-07-2019 - |
Вопрос
Мне нужно передать метаинформацию в моем HTTP-ответе, поэтому я понял, что могу использовать заголовок ответа, например «X-MyData:123456".Это безопасно?Я имею в виду, есть ли вероятность, что клиентский прокси удалит этот заголовок?
Спасибо!
Решение
Клиентский прокси-сервер мог делать все, что хотел, но, как правило, не удалял заголовки.
Заголовки, начинающиеся с X-, обычно зарезервированы для нестандартного использования (т.ни один будущий стандарт не будет вводить заголовок, начинающийся с X-), но прокси-сервер может понять их и изменить по своему усмотрению.
Другие советы
Для справки, X-заголовки также называются x-token
в БНФ РФК 2045, как user-defined ("X-")
в разделе 5 РФК 2047 и как экспериментальные заголовки в разделе 4.2.2.1 Формат новостной статьи черновик.
Устаревшее использование префикса «X-» в протоколах приложений (BCP, июнь 2012 г.):
Отирает соглашение «X-» для большинства протоколов применения и дает особые рекомендации о том, как действовать в мире без различия между стандартными и нестандартными параметрами
Это является возможно, что прокси-серверы или любые промежуточные звенья в цепочке изменят ваши заголовки, но это обычно это не проблема.
Чаще всего можно указать собственные заголовки, если они достаточно уникальны, чтобы не конфликтовать с заголовками других людей, и вы не ожидаете, что кто-то другой будет использовать ваш.