HTTP首部(四)

澳门新葡新京 2

  澳门新葡新京 1

字段值

含义

0

同意被追踪

1

不同意被追踪

首部字段名

说明

首部类型

Set-Cookie

开始状态管理所使用的的Cookie信息

响应首部字段

Cookie

服务器接收到的Cookie信息

请求首部字段

属性

说明

NAME=VALUE

赋予Cookie的名称和其值(必需项)

expires=DATE

Cookie的有效期(若不明确指定则默认为浏览器关闭前为止)

path-PATH

将服务器上的文件目录作为Cookie的适用对象(若不指定则默认为文档所在的文件目录)

domain=域名

作为Cookie适用对象的域名(若不指定则默认为创建Cookie的服务器的域名)

Secure

仅在HTTPS安全通行时才会发送Cookie

HttpOnly

加以限制,使Cookie不能被JavaScript脚本访问,目的是为防止跨站脚本攻击对Cookie信息的获取

  HTTP首部字段是可以自行扩展的。所以Web服务器和浏览器的应用上,会出现各种非标你准的首部字段。

  该首部字段属于HTTP请求首部,DNT首部自担是拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。该字段有两个可以指定的值:

  Content-MD5

  Set-Cookie

  Content-Type

  Allow

  该首部字段会告知客户端服务器对实体的主体部分选用内容编码方式,而内容编码是指不丢失实体信息的前提下所进行的压缩。而内容编码方式只有四种,就是gzip、compress、deflate、identity。

  为Cookie服务的首部字段

 澳门新葡新京 2

  其他首部字段

  X-XSS-Protection

  该首部字段会告知客户端,实体主体使用的自然语言。

  Cookie

  该首部字段给出与报文主体部分相对应的URI,而且是报文主体返回资源对应的URI。

  当服务器准备开始管理客户端的状态时,会事先告知各种信息。下面列举Set-Cookie的字段值:

  该首部字段会将资源失效的日期告知客户端,缓存服务器在接收到含有首部字段Expires的响应后,会以缓存来应答请求,在Expires字段值指定的时间之前,响应的副本会一直被保存。当超过指定的时间后,缓存服务器在请求发送过来时,会转向源服务器请求资源。

  Content-Length

  为确保报文的有效性,作为接收方的客户端会对报文主体再执行一次相同的MD5算法。计算出的值与字段值作比较后,即可判断出报文主体的准确性。

  Content-Range

  该首部字段表明了实体主体部分的大小,但是对实体主体进行内容编码传输时,就不能再使用Content-Length首部字,因为实体主体大小的计算方法会根据内容编码的不同而有所改变且计算方法略复杂。

 

  该首部字段属于HTTP响应首部,通过利用P3P技术,可以让Web网站上的个人隐私贬称过一种仅供程序可理解的形式,以达到保护用户隐私的目的。

  该字段说明了实体主体内对应的媒体类型。

字段值

含义

0

将XSS过滤设置成无效状态

1

将XSS过滤设置成有效状态

  Cookie的工作机制是用户识别及状态管理。Web网站为了管理用户的状态会通过Web浏览器,把一些数据临时写入用户的计算机内,当用户访问该Web网站时,可通过通信方式取回之前存放的Cookie,调用Cookie时,由于可校验Cookie的有效期以及发送方的域、路径、协议等信息,所以正规发布的Cookie内的数据不会因来自其他Web站点和攻击者的攻击而泄露。

  该字段可以针对范围请求返回响应,能告知客户端作为响应返回的实体的哪个部分符合范围请求,字段值以字节为单位,表示当前发送部分及整个实体大小。

  

  X-Frame-Options

  在此介绍两个最普遍的Cookie的首部字段:

  该首部字段会告知服务器,当客户端想获得HTTP状态管理支持时,就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时,同样可以以多个Cookie形式发送。

字段值

含义

DENY

拒绝

SAMEORIGIN

仅同源域名下的匹配时许可

  DNT

  Content-Language

  Expires

  该首部字段用于通知客户端能能够支持Request-URI指定资源的所有HTTP方法。当服务器接收到不支持的HTTP方法时,会以状态码405作为响应返回。与此同时,还会把所有能支持的HTTP方法写入首部字段Allow后返回。

  要进行P3P的设定,需要这么做:

  Last-Modified

  该首部字段属于HTTP响应首部,用于控制网站内容在其他Web网站的Frame标签内的现实问题,主要目的是为了防止点击劫持攻击。该字段有两个可指定的字段值:

澳门新葡新京,  实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首部,而且请求和响应双方的HTTP报文中都含有与实体相关的首部字段,用于补充内容的更新时间等与实体相关的信息。

  该首部字段指明资源最终修改的时间,一般来说,这个值就是Request-URI指定资源被修改的时间。

  该首部字段属于HTTP响应首部,它是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器XSS防护机制的开关。该字段有两个可指定的字段值:

  该首部字段是一串由MD5算法生成的值,其目的是在与检查报文主体在传输过程中是否保持完整,以及确认传输到达。Content-MD5字段值的生成过程如下:

  实体首部字段

  Content-Location

  P3P

  Content-Encoding

Leave a Comment.