X-Frame-Options
X-XSS-Protection
DNT
P3P
1.X-Frame-Options
X-Frame-Options: DENY
首部字段 X-Frame-Options 属于 HTTP 响应首部, 用于控制网站内容
在其他 Web 网站的 Frame 标签内的显示问题。 其主要目的是为了防
止点击劫持(clickjacking) 攻击。
首部字段 X-Frame-Options 有以下两个可指定的字段值。
DENY : 拒绝
SAMEORIGIN : 仅同源域名下的页面(Top-level-browsingcontext) 匹配时许可。 (比如, 当指定 http://hackr.jp/sample.html
页面为 SAMEORIGIN 时, 那么 hackr.jp 上所有页面的 frame 都被
允许可加载该页面, 而 example.com 等其他域名的页面就不行
了)
支持该首部字段的浏览器有: Internet Explorer 8、 Firefox 3.6.9+、
Chrome 4.1.249.1042+、 Safari 4+ 和 Opera 10.50+ 等。 现在主流的浏览
器都已经支持。
能在所有的 Web 服务器端预先设定好 X-Frame-Options 字段值是最理
想的状态。
2.X-XSS-Protection
X-XSS-Protection: 1
首部字段 X-XSS-Protection 属于 HTTP 响应首部, 它是针对跨站脚本
攻击(XSS) 的一种对策, 用于控制浏览器 XSS 防护机制的开关。
首部字段 X-XSS-Protection 可指定的字段值如下。
0 : 将 XSS 过滤设置成无效状态
1 : 将 XSS 过滤设置成有效状态
3.DNT
DNT: 1
首部字段 DNT 属于 HTTP 请求首部, 其中 DNT 是 Do Not Track 的简
称, 意为拒绝个人信息被收集, 是表示拒绝被精准广告追踪的一种方
法。
首部字段 DNT 可指定的字段值如下。
0 : 同意被追踪
1 : 拒绝被追踪
由于首部字段 DNT 的功能具备有效性, 所以 Web 服务器需要对 DNT
做对应的支持。
4.P3P
P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa"
首部字段 P3P 属于 HTTP 相应首部, 通过利用 P3P(The Platform for
Privacy Preferences, 在线隐私偏好平台) 技术, 可以让 Web 网站上
的个人隐私变成一种仅供程序可理解的形式, 以达到保护用户隐私的
目的。
要进行 P3P 的设定, 需按以下操作步骤进行。
步骤 1: 创建 P3P 隐私
步骤 2: 创建 P3P 隐私对照文件后, 保存命名在 /w3c/p3p.xml
步骤 3: 从 P3P 隐私中新建 Compact policies 后, 输出到 HTTP 响应
中