與web安全相關的一些HTTP首部字段

X-Frame-Options

X-XSS-Protection
DNT
P3P
 1.X-Frame-Options

X-Frame-Options: DENY

首部字段 X-Frame-Options 屬於 HTTP 響應首部， 用於控制網站內容
在其餘 Web 網站的 Frame 標籤內的顯示問題。 其主要目的是爲了防
止點擊劫持（clickjacking） 攻擊。
首部字段 X-Frame-Options 有如下兩個可指定的字段值。
DENY ： 拒絕
SAMEORIGIN ： 僅同源域名下的頁面（Top-level-browsingcontext） 匹配時許可。 （好比， 當指定 http://hackr.jp/sample.html
頁面爲 SAMEORIGIN 時， 那麼 hackr.jp 上全部頁面的 frame 都被
容許可加載該頁面， 而 example.com 等其餘域名的頁面就不行
了）
支持該首部字段的瀏覽器有： Internet Explorer 8、 Firefox 3.6.9+、
Chrome 4.1.249.1042+、 Safari 4+ 和 Opera 10.50+ 等。 如今主流的瀏覽
器都已經支持。
能在全部的 Web 服務器端預先設定好 X-Frame-Options 字段值是最理
想的狀態。

2.X-XSS-Protection

X-XSS-Protection: 1

首部字段 X-XSS-Protection 屬於 HTTP 響應首部， 它是針對跨站腳本
攻擊（XSS） 的一種對策， 用於控制瀏覽器 XSS 防禦機制的開關。
首部字段 X-XSS-Protection 可指定的字段值以下。
0 ： 將 XSS 過濾設置成無效狀態
1 ： 將 XSS 過濾設置成有效狀態

3.DNT

DNT: 1

首部字段 DNT 屬於 HTTP 請求首部， 其中 DNT 是 Do Not Track 的簡
稱， 意爲拒絕我的信息被收集， 是表示拒絕被精準廣告追蹤的一種方
法。
首部字段 DNT 可指定的字段值以下。
0 ： 贊成被追蹤
1 ： 拒絕被追蹤

因爲首部字段 DNT 的功能具有有效性， 因此 Web 服務器須要對 DNT
作對應的支持。

4.P3P

P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa"

首部字段 P3P 屬於 HTTP 相應首部， 經過利用 P3P（The Platform for
Privacy Preferences， 在線隱私偏好平臺） 技術， 可讓 Web 網站上
的我的隱私變成一種僅供程序可理解的形式， 以達到保護用戶隱私的
目的。
要進行 P3P 的設定， 需按如下操做步驟進行。
步驟 1： 建立 P3P 隱私
步驟 2： 建立 P3P 隱私對照文件後， 保存命名在 /w3c/p3p.xml
步驟 3： 從 P3P 隱私中新建 Compact policies 後， 輸出到 HTTP 響應
中