其他首部字段（八）

HTTP 首部字段是可以自行扩展的。所以在 Web 服务器和浏览器的应用上，会出现各种非标准的首部字段。
揭下来，开始学习最常用的首部字段

• X-Frame-Options
• X-XSS-Protection
• DNT
• P3P

---

1. X-Frame-Options

X-Frame-Options: DENY

其属于 HTTP 响应首部，用于控制网站内容在其他 Web 网站的 Frame 标签内的显示问题。其主要目的是为了防止点击劫持（clickjacking）攻击。

值	说明
DENY	拒绝
SAMEORIGIN	所有同源域名下的页面匹配时许可

2. X-XSS-Protection

X-XSS-Protection: 1

首部字段 X-XSS-Protection 属于 HTTP 响应首部，它是针对跨站脚本攻击（XSS）的一种对策，用于控制浏览器 XSS 防护机制的开关。

值	说明
0	将 XSS 过滤设置成无效状态
1	将 XSS 过滤设置成有效状态

3. DNT

DNT: 1

首部字段 DNT 属于 HTTP 请求首部，其中 DNT 是 Do Not Track 的简称，意为拒绝个人信息被收集，是表示拒绝被精准广告追踪的一种方法。

值	说明
0	同意被追踪
1	拒绝被追踪

注：由于首部字段DNT的功能具备有效性，所以 Web 服务器需要对 DNT 做对应的支持。**

4. P3P

P3P 属于响应首部，通过利用 P3P 技术，可以使 Web 网站上的个人隐私变成一种仅供程序可理解的形式，以达到保护用户隐私的目的。

提醒

在 HTTP 等多种协议中，通过给非标准参数加上前缀 X-，来区别于标准参数，并使哪些非标准的参数作为扩展变成可能。但在 RFC 6648中已经提议停止该做法。

然而，对已经在使用中的 X- 前缀来说，不应该要求其变更。