问题描述
据我所知,关于互联网的一切都(或者更确切地说应该?)在 RFC 中定义和记录。我在 mozilla.org (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers) 上找到了几个 HTTP 标头的列表,我认为这是从 RFC 中获取的二手知识。然而,大多数与安全相关的 HTTP 标头既不在 RFC 中(来源:https://www.rfc-editor.org/search/rfc_search_detail.php?title=Content-Security-Policy)也不在 IANA 建议的 HTTP 标头中(来源:https://www.iana.org/assignments/message-headers/message-headers.xhtml)
- 是否有一个委员会来决定此类惯例?是否有一个中心位置可以让我随时找到有关互联网规则的第一手信息?
- 关键应用程序的程序员如何知道他们必须实现哪些功能才能使他们的软件与互联网的其他部分保持同步?
- 程序员如何确保他们的软件按照规则完美实现并与互联网的其他部分协调工作。例如。编写 FTP 客户端程序的人(假设他们没有使用库)必须确保他们对 FTP 协议的理解与每个 FTP 服务器应用程序的理解相同,对吗?
解决方法
RFC 是最终批准的文档。在您的情况下,HTTP 属于 HTTP 工作组,因此该组正在讨论某些浏览器已经支持的一些新功能。扩展这个想法,HTTP 中存在的一些安全标头可能来自其他组并且只是在 HTTP RCF 中引用。内容安全政策记录在 RFC 7762 中,而不是被标记为信息性。
-
每个区域都有其工作组,在这种情况下,HTTP 嵌套在 ART(应用程序和实时区域)中。 这些小组中的每一个都编译、修订和发布新的规范。例如,您可以看到 HTTP(httpbis) charter
-
有两种选择,基于 RCF 及其参考实施或遵循工作组指令和参考。 仅使用 RFC 更安全且可互操作,但最终会过时,直到发布新的 RFC。
-
唯一的方法是实施 RFC 中记录的内容。这是互联网概念的一部分,新功能或标准需要一段时间才能完整记录下来,这取决于开发者的研究和实施。