Безопасен ли использовать заголовок "X -..." в ответе HTTP?

Ответ 1

Клиентский прокси-сервер мог делать все, что он хотел, но в целом не собирал никаких заголовков.

Заголовки, начинающиеся с X-, обычно зарезервированы для нестандартного использования (т.е. никакой будущий стандарт не вводит заголовок, начинающийся с X-), но прокси-сервер может понять их и выбрать, чтобы изменить их по своему желанию.

Ответ 2

Для справки, X-заголовки также упоминаются как x-token в BNF RFC 2045, как user-defined ("X-") в разделе 5 RFC 2047 и в качестве экспериментальных заголовков в разделе 4.2.2.1 News Article Формат.

Устаревшее использование префикса "X-" в протоколах приложений (BCP, июнь 2012 г.):

отменяет соглашение "X-" для большинства протоколов приложений и дает конкретные рекомендации о том, как действовать в мире без различие между стандартными и нестандартными параметрами

Ответ 3

Прокси-серверы или любые промежуточные звенья в цепочке могут изменять ваши заголовки, но это обычно не проблема.

Чаще всего, указание пользовательских заголовков прекрасен, если они уникальны, чтобы не конфликтуют с заголовками других людей, и вы не ожидаете, что кто-либо еще сможет использовать ваши.