使用不以'X-'开头的自定义http标头是否安全?

时间:2015-07-17 01:51:18

标签: http http-headers

根据已弃用“X-”约定的RFC 6648,没有理由将自定义标头(如API密钥)加上“X-”作为设计Web API的前缀。

尽管有RFC标准,但我想知道在没有“X-”的情况下遵守新约定是非常安全的。有人说,一些浏览器甚至一些遵循旧惯例的ISP可能会因为非标准而阻止遵循新惯例的标题,但我还不能确认。

解决方案很简单,仅支持约定或旧约定。但是,无论解决方案如何,我都想知道遵守新惯例是否安全,或者是一个没有答案的问题。

0 个答案:

没有答案