本文介紹四個非標準的但是常用的首部字段。
一,X-Frame-Options
該首部字段是響應首部字段��,用于控制網站內容在其它Web網站的Frame標簽內的顯示問題��,其主要目的是為了防止點擊劫持��。
X-Frame-Options 有三個值:
DENY:
表示該頁面不允許在 frame 中展示��,即便是在相同域名的頁面中嵌套也不允許��。SAMEORIGIN: 表示該頁面可以在相同域名頁面的 frame 中展示��。ALLOW-FROM uri表示該頁面可以在指定來源的 frame 中展示��。(1)frame 標簽會創建包含另外一個文檔的內聯框架��,可以在頁面中添加網頁��,也就是在頁面內調用另一個頁面。(2)比如你想創建一個網站的集合頁面��,,在里面添加了一個http://hackr.jp/sample.html的frame��。
如果字段值為DENY:則在你的網站中無法點擊打開frame的頁面��。
如果字段值為SAMEORIGIN:如果你網站的域名的結尾為hackr.jp��,那么你能點擊打開該frame��。
如果字段值為ALLOW-FROM��,并且它指定的uri包含你網站的域名��,那么你能點擊打開該frame��。
二��,X-XSS-PRotection
該首部字段屬于響應首部��,它是針對跨站腳本攻擊(XSS)的一種對策��,用于控制瀏覽器XSS防護機制的開關��。
舉例:
X-XSS-Protection:1
把XSS過濾設置成有效狀態��。
X-XSS-Protection:0
把XSS過濾設置成無效狀態��。
三��,DNT
該首部字段為請求首部��,Do Not Track��,用來告知服務器拒絕個人信息被收集��。
舉例:
DNT:0
同意被追蹤
DNT:1
拒絕被追蹤��。
四��,P3P
該首部字段屬于響應首部��,利用該技術��,可以讓網站上的個人隱私變成一種僅供程序可理解的形式��,來達到保護用戶隱私的目的��。
舉例:
P3P:CP=“CAO DSP LAW CURa ADMa DEVa TAIa PSAa IVAa IVDa OUR BUS IND UNI COM NAV INT”
