6.8.1 X-Frame-Options
X-Frame-Options属于HTTP响应首部,用来告诉浏览器这个网页是否可以放在 iFram内。例如:
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM http://caibaojian.com/
第一个例子告诉浏览器不要(DENY)把这个网页放在iFrame内,通常的目的就是要帮助用户对抗点击劫持。
第二个例子告诉浏览器只有当架设iFrame的网站与发出X-Frame-Options的网站是在同一域名下,才能显示发出X-Frame-Options网页的内容。
第三个列子告诉浏览器这个网页只能放在 http://caibaojian.com/网页架设的iFrame内。
若不指定 X-Frame-Options的网页意味着它可以放在任何iFrame内。
总之, X-Frame-Options可以保障你的网页不会被放在恶意网站设定的iFrame内,令用户成为点击点击劫持的受害人。
另外,还可以直接通过 meta 标签来设置,不需要放在 http请求头中。
<meta http-equiv="X-Frame-Options" content="deny">
两个参数:(作用和上面一致)
- SAMEORIGIN
- DENY
6.8.2 X-XSS-Protection
X-XSS-Protection属于 HTTP响应首部,是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器XSS防护机制的开关。可指定的字段值如下:
0: 将XSS过滤设置成无效状态
1: 将XSS过滤设置成有效状态
6.8.3 DNT
DNT属于HTTP请求首部,其中DNT是 Do Not Track 的简称,意思是拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。可指定的字段值如下:
0: 同意被追踪
1: 拒绝被追踪
由于DNT的功能具备有效性,所以Web服务器需要对DNT做相应的支持。
6.8.4 P3P
P3P属于HTTP相应首部,通过利用P3P(The Platform for Privacy Preferences, 在线隐私偏好平台)技术, 可以让Web网站的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。