6.7 其它首部字段

     本文介绍四个非标准的但是常用的首部字段。

一，X-Frame-Options

          该首部字段是响应首部字段，用于控制网站内容在其它Web网站的Frame标签内的显示问题，其主要目的是为了防止点击劫持。

X-Frame-Options 有三个值:

DENY：

表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN:

              

              表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

（1）frame 标签会创建包含另外一个文档的内联框架，可以在页面中添加网页，也就是在页面内调用另一个页面。

（2）比如你想创建一个网站的集合页面，,在里面添加了一个http://hackr.jp/sample.html的frame。

             如果字段值为DENY：则在你的网站中无法点击打开frame的页面。

             如果字段值为SAMEORIGIN:如果你网站的域名的结尾为hackr.jp，那么你能点击打开该frame。

             如果字段值为ALLOW-FROM，并且它指定的uri包含你网站的域名，那么你能点击打开该frame。

二，X-XSS-Protection

           该首部字段属于响应首部，它是针对跨站脚本攻击（XSS）的一种对策，用于控制浏览器XSS防护机制的开关。

举例：

         X-XSS-Protection：1

               把XSS过滤设置成有效状态。

         X-XSS-Protection：0

               把XSS过滤设置成无效状态。

三，DNT

          该首部字段为请求首部，Do Not Track，用来告知服务器拒绝个人信息被收集。

举例：

         DNT：0

             同意被追踪

         DNT：1

             拒绝被追踪。

四，P3P

          该首部字段属于响应首部，利用该技术，可以让网站上的个人隐私变成一种仅供程序可理解的形式，来达到保护用户隐私的目的。

举例：

        P3P：CP=“CAO DSP LAW CURa ADMa DEVa TAIa PSAa IVAa IVDa OUR BUS IND UNI COM NAV INT”