HTTP首部字段是可以自行擴(kuò)展的，Web服務(wù)器和瀏覽器有好幾種非標(biāo)準(zhǔn)的首部字段。

1. X-Frame-Options

屬于HTTP響應(yīng)首部，用于控制網(wǎng)站內(nèi)容在其他Web網(wǎng)站的Frame標(biāo)簽內(nèi)的顯示問題。其主要目的是為了防止點(diǎn)擊劫持( clickjacking)攻擊。

eg. Frame-Options:DENY

1.1 首部字段X-Frame-Options有以下兩個(gè)可指定的字段值。

· DENY:拒絕
· SAMEORIGIN:僅同源域名下的頁面( Top-level-browsing-context )匹配時(shí)許可。(比如，當(dāng)指定http://hackr.jp/sample.html頁面為SAMEORIGIN時(shí),那么hackr.jp上所有頁面的frame都被允許可加載該頁面，而example.com 等其他域名的頁面就不行了)

支持該首部字段的瀏覽器有:Internet Explorer 8、Firefox 3.6.9+、Chrome 4.1.249.1042+、Safari 4+和 Opera 10.50+等。現(xiàn)在主流的瀏覽器都已經(jīng)支持。

1.2 能在所有的Web服務(wù)器端預(yù)先設(shè)定好X-Frame-Options字段值是最理想的狀態(tài)。

eg. 對(duì)apache2.conf的配置實(shí)例

<IfModule mod_headers.c>Header append X-FRAME-OPTIONS "SAMEORIGIN" </IModule>

2. X-XSS-Protection

首部字段X-XSS-Protection屬于HTTP響應(yīng)首部，它是針對(duì)跨站腳本攻擊(xSS)的一種對(duì)策，用于控制瀏覽器XSS防護(hù)機(jī)制的開關(guān)。

首部字段X-XSS-Protection可指定的字段值如下。
.0:將XSS過濾設(shè)置成無效狀態(tài)
1:將XSS過濾設(shè)置成有效狀態(tài)

eg. x-XSS-Protection: 1

3. DNT

首部字段DNT屬于HTTP請(qǐng)求首部，其中DNT是Do Not Track的簡(jiǎn)稱，意為拒絕個(gè)人信息被收集，是表示拒絕被精準(zhǔn)廣告追蹤的一種方法。 0：同意被追蹤，1：拒絕被追蹤

eg. DNT:1

由于首部字段DNT的功能具備有效性，所以 Web服務(wù)器需要對(duì)DNT做對(duì)應(yīng)的支持。

4. P3P

首部字段P3P屬于HTTP相應(yīng)首部，通過利用P3P ( The Platformfor Privacy Preferences，在線隱私偏好平臺(tái)）技術(shù)，可以讓W(xué)eb網(wǎng)站上的個(gè)人隱私變成一種僅供程序可理解的形式，以達(dá)到保護(hù)用戶隱私的目的。

eg.

P3P:CP="CAo DSP LAW CURa ADMa DEVa TAIa PSAa PSDa =IVAa IvDa OUR BUS IND UNr COM NAV INT"

要進(jìn)行P3P的設(shè)定，需按以下操作步驟：
步驟1:創(chuàng)建P3P隱私
步驟2:創(chuàng)建P3P隱私對(duì)照文件后，保存命名在/w3c/p3p.xml步驟3:從P3P隱私中新建Compact policies后，輸出到HTTP響應(yīng)中

總結(jié)

以上是生活随笔為你收集整理的(chap6 Http首部) 其他首部字段的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。