HTTP图解读书笔记（第六章 HTTP首部）为cookie服务的首部字段和其它首部字段

为cookie服务的首部字段

Set-Cookie

 当服务端开始准备管理客户端的状态时，会事先告知各种信息。

Set-Cookie字段属性：

• expires  

        指定浏览器可发送cookie的指定期限，当省略 expires 属性时，其有效期仅限于维持浏览器会话（Session）时间段内。

       一旦 Cookie 从服务器端发送至客户端，服务器端就不存在可以显式删除 Cookie 的方法。但可通过覆盖已过期的 Cookie，实现对客户端 Cookie 的实质性删除操作。

• path

       限制指定 Cookie 的发送范围的文件目录。不过另有办法可避开这项限制，看来对其作为安全机制的效果不能抱有期待

• domain

       指定的域名可做到与结尾匹配一致当指定 example.com 后，除 example.com 以外，www.example.com或 www2.example.com 等都可以发送 Cookie

• secure

       于限制 Web 页面仅在 HTTPS 安全连接时，才可以发送 Cookie

• HttpOnly

       使 JavaScript 脚本无法获得 Cookie。其主要目的为防止跨站脚本攻击（Cross-sitescripting，XSS）对 Cookie 的信息窃取

Cookie

首部字段 Cookie 会告知服务器，当客户端想获得 HTTP 状态管理支持时，就会在请求中包含从服务器接收到的 Cookie。接收到多个Cookie 时，同样可以以多个 Cookie 形式发送。

其它首部字段

最为常用的其它首部字段

• X-Frame-Optio 

       属于HTTP响应首部，控制网站内容在其他 Web 网站的 Frame 标签内的显示问题。其主要目的是为了防止点击劫持（clickjacking）攻击

       两个可指定的字段值：

       DENY ：拒绝

       SAMEORIGIN ：仅同源域名下的页面匹配时许可。

• X-XSS-Protecti 

       属于HTTP响应首部，它是针对跨站脚本攻击（XSS）的一种对策，用于控制浏览器 XSS 防护机制的开关

       可指定的字段值：

       0 ：将 XSS 过滤设置成无效状态

       1 ：将 XSS 过滤设置成有效状态

• DNT

       属于HTTP请求首部，主要是为了拒绝个人信息被收集，是表示拒绝被精准广告追踪的一种方法。

       可指定的字段值如下：
       0 ：同意被追踪
       1 ：拒绝被追踪

• P3P（在线隐私偏好平台）

       属于HTTP的响应首部， 可以让 Web 网站上的个人隐私变成一种仅供程序可理解的形式，以达到保护用户隐私的目的