[HTTP]HTTP报文首部之其他首部字段详解

报文首部还有其他首部字段.

为Cookie服务的首部字段

Cookie工作机制是用户识别及状态管理.
主要的字段就是Set-Cookie,其中字段属性如下:

属性 说明
NAME=VALUE 赋予Cookie的名称和其值(必需项)
expires=DATE Cookie的有效期(若不明确指定,则默认为浏览器关闭前为止)
服务器端可通过覆盖已过期的Cookie,实现对客户端Cookie的实质性删除.
path=PATH 将服务器上的文件目录作为Cookie的适用对象(若不指定,默认为文档所在的文件目录)
domain=域名 作为Cookie适用对象的域名(若不指定,默认为创建Cookie的服务器的域名)
Secure 仅在HTTPS安全通信时才会发送Cookie
HttpOnly 加以限制,使Cookie不能被JavaScript脚本访问,防止跨站脚本攻击对Cookie的信息窃取
HTTP首部字段自定义部分

HTTP首部字段可以自行扩展,最常用的有以下:

  • X-Frame-Options
  • X-Frame-Options:DENY
    首部字段X-Frame-Options属于HTTP响应首部
    用于控制网站内容在其他Web网站的Frame标签内的显示问题.
    主要目的是为了防止点击劫持攻击.有两个可指定的字段值:
    DENY:拒绝
    SAMEORIGIN:仅同源域名下的页面匹配时许可

  • X-XSS-Protection
  • X-XSS-Protection:1
    首部字段X-XSS-Protection属于HTTP响应首部
    针对跨站脚本攻击的一种对策,用于控制浏览器XSS防护机制的开关
    可指定的字段值:
    0:将XSS过滤设置成无效状态
    1:将XSS过滤设置成有效状态

  • DNT
  • DNT:Do Not Track 拒绝个人信息被收集,表示拒绝被精准广告追踪的一种方法
    可指定的字段值:
    0:同意被追踪
    1:拒绝被追踪

    到这里,其他首部字段详解也就结束了.中间因为各种事情耽搁,断断续续的这一系列文章终于写完了.用好这些首部字段,设定好需要的值,能够更好地保证相关数据的安全.纸上得来终觉浅,绝知此事要躬行.还是要去实践,这只是理论性知识.
    最后感谢您的阅读~

    posted @ 2018-11-26 09:16  Developer_lulu  阅读(152)  评论(0编辑  收藏  举报