标签: http http-headers
根据已弃用“X-”约定的RFC 6648,没有理由将自定义标头(如API密钥)加上“X-”作为设计Web API的前缀。
尽管有RFC标准,但我想知道在没有“X-”的情况下遵守新约定是非常安全的。有人说,一些浏览器甚至一些遵循旧惯例的ISP可能会因为非标准而阻止遵循新惯例的标题,但我还不能确认。
解决方案很简单,仅支持约定或旧约定。但是,无论解决方案如何,我都想知道遵守新惯例是否安全,或者是一个没有答案的问题。