我必须在将Content-Type标头值传递给HTTP请求之前验证它.

是否有针对所有可能值的特定列表Content-Type？

否则,有没有办法在HTTP请求中使用它之前验证内容类型？

我在开发者控制台中遇到了一堆错误:

拒绝评估字符串

拒绝执行内联脚本,因为它违反了以下内容安全策略指令

拒绝加载脚本

拒绝加载样式表

这是怎么回事？内容安全策略如何运作？我如何使用Content-Security-PolicyHTTP标头？

具体来说,如何......

1. ......允许多个来源？
2. ......使用不同的指令？
3. ...使用多个指令？
4. ......处理端口？
5. ...处理不同的协议？
6. ......允许file://协议？
7. ...使用内联样式,脚本和标签<style>和<script>？
8. ......允许eval()？

最后:

9. 究竟是什么'self'意思？

我在MySQL数据库中有数据.我正在向用户发送一个URL,以将其数据作为CSV文件输出.

我有电子邮件的链接,MySQL查询等.

当他们点击链接时,我怎么能弹出一个下载带有MySQL记录的CVS？

我已经掌握了获取记录的所有信息.我只是不知道如何让PHP创建CSV文件并让他们下载扩展名为.csv的文件.

我向HTTP(非HTTPS)网站发出了POST请求,检查了Chrome开发者工具中的请求,发现它在将其发送到服务器之前添加了自己的标头:

Upgrade-Insecure-Requests: 1

在搜索之后Upgrade-Insecure-Requests,我只能找到有关发送此标头的服务器的信息:

Content-Security-Policy: upgrade-insecure-requests

这似乎是相关的,但仍然非常不同,因为在我的情况下,CLIENT在请求中发送标头,而我发现的所有信息都与SERVER在响应中发送相关标头有关.

那么为什么Chrome(44.0.2403.130米)会添加Upgrade-Insecure-Requests我的请求以及它的作用是什么？

更新2016-08-24:

此标题已被添加为W3C候选推荐标准,现已正式认可.

对于那些刚刚遇到这个问题并且感到困惑的人来说,Simon East 的出色答案很好地解释了这一点.

该Upgrade-Insecure-Requests: 1头曾经是HTTPS: 1 在之前的W3C工作草案,并改名悄然由镀铬前的变化成为正式受理.

(在此过渡期间,当此标题上没有官方文档且Chrome是唯一发送此标题的浏览器时,会询问此问题.)

我想知道什么是JWT令牌最合适的AuthorizationHTTP头类型.

最受欢迎的类型之一是Basic.例如:

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

它处理两个参数,如登录和密码.因此它与JWT令牌无关.

另外,我听说过Bearer类型,例如:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

但是,我不知道它的含义.它与熊有关吗？

是否有一种在HTTP Authorization头中使用JWT令牌的特定方法？我们应该使用Bearer,还是应该简化并使用:

Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

谢谢.

编辑:

或者,也许只是一个JWTHTTP标头:

JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JQuery和其他框架添加以下标头:

X-Requested-With:XMLHttpRequest

为什么需要这个？为什么服务器要以不同于正常请求的方式处理AJAX请求？

更新:我刚刚使用这个标题找到了一个真实的例子:https://core.spreedly.com/manual/payment-methods/adding-with-js.如果在没有AJAX的情况下请求支付处理器,它会在完成后重定向回原始网站.当使用AJAX请求时,不会进行重定向.

当取消选中"在浏览器中显示PDF"选项时,有没有办法强制PDF文件在浏览器中打开？

我尝试使用embed标签和iframe,但只有在选中该选项时才有效.

我能做什么？

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

这些'q =%f'是什么意思？

所以我现在一直在玩telnet来获取有趣的telnet(即只需键入telnet google.com 80并输入随机GET和带有不同标题的POST等)但我遇到了google.com在其标题中传输的内容不知道.

我一直在浏览http://www.w3.org/Protocols/rfc2616/rfc2616.html,并且没有找到谷歌似乎正在喷出的特定http-header的定义:

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

谁知道是什么X-XSS-Protection？

如果您要将用户代理存储在数据库中,您可以使用多大的容量？

我发现这篇文章建议将UA保持在200以下.看起来这似乎不是HTTP规范中定义的,至少不是我发现的.我的UA已经有149个字符了,似乎每个版本的.NET都会添加它.

我知道我可以将字符串解析出来并将其分解,但我不愿意.

编辑
基于此博客, IE9将更改为发送短UA字符串.这是一个很好的改变.