【发布时间】:2018-08-13 06:31:04
【问题描述】:
我发现了一个响应,其中应用程序使用了具有相同值的重复标头。谁能告诉我,这是一种好的编程习惯还是用于安全角度或其他方面?
HTTP/1.1 200
Accept-Ranges: bytes
Cache-Control: no-cache, must-revalidate, private
Content-Type: text/html
Date: Mon, 20 Nov 2017 04:08:51 GMT
Expires: 0
Last-Modified: Thu, 16 Nov 2017 14:04:48 GMT
Pragma:
Public-Key-Pins: pin-sha256="5w0XrTCAbsVO7vTngDViNHPutlvB43qYionPbpV2ky0=";
max-age=5184000; includeSubDomains;
Server: Any
Set-Cookie: ********************* httponly; secure; path=/
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Content-Length: 559
Connection: Close
此应用程序使用具有相同值的重复 X-Content-Type-Options 标头、Strict-Transport-Security、X-Frame-Options 标头。 我在 stackoverflow 上发布了这个问题,但没有找到任何回复。
【问题讨论】:
-
@Lekensteyn:如何解释重复的标头(即使具有相同的值)实际上可能是一个安全问题,特别是如果不同的系统(防火墙和浏览器)有不同的解释。
标签: http webserver web-services header