[HTTP]HTTP报文首部之其他首部字段详解
报文首部还有其他首部字段.
为Cookie服务的首部字段 |
Cookie工作机制是用户识别及状态管理.
主要的字段就是Set-Cookie,其中字段属性如下:
属性 | 说明 |
---|---|
NAME=VALUE | 赋予Cookie的名称和其值(必需项) |
expires=DATE | Cookie的有效期(若不明确指定,则默认为浏览器关闭前为止) 服务器端可通过覆盖已过期的Cookie,实现对客户端Cookie的实质性删除. |
path=PATH | 将服务器上的文件目录作为Cookie的适用对象(若不指定,默认为文档所在的文件目录) |
domain=域名 | 作为Cookie适用对象的域名(若不指定,默认为创建Cookie的服务器的域名) |
Secure | 仅在HTTPS安全通信时才会发送Cookie |
HttpOnly | 加以限制,使Cookie不能被JavaScript脚本访问,防止跨站脚本攻击对Cookie的信息窃取 |
HTTP首部字段自定义部分 |
HTTP首部字段可以自行扩展,最常用的有以下:
X-Frame-Options:DENY
首部字段X-Frame-Options属于HTTP响应首部
用于控制网站内容在其他Web网站的Frame标签内的显示问题.
主要目的是为了防止点击劫持攻击.有两个可指定的字段值:
DENY:拒绝
SAMEORIGIN:仅同源域名下的页面匹配时许可
X-XSS-Protection:1
首部字段X-XSS-Protection属于HTTP响应首部
针对跨站脚本攻击的一种对策,用于控制浏览器XSS防护机制的开关
可指定的字段值:
0:将XSS过滤设置成无效状态
1:将XSS过滤设置成有效状态
DNT:Do Not Track 拒绝个人信息被收集,表示拒绝被精准广告追踪的一种方法
可指定的字段值:
0:同意被追踪
1:拒绝被追踪
到这里,其他首部字段详解也就结束了.中间因为各种事情耽搁,断断续续的这一系列文章终于写完了.用好这些首部字段,设定好需要的值,能够更好地保证相关数据的安全.纸上得来终觉浅,绝知此事要躬行.还是要去实践,这只是理论性知识.
最后感谢您的阅读~