我正在阅读此RFC,发现我在google网站上看不到任何信息。 enter image description here有一个段落:
如果响应具有一个
Content-Location
头字段,并且其字段值是对不同于有效请求URI的URI的引用,则发送方断言有效负载是{标识的资源的表示形式{1}}字段值。但是,除非可以通过其他方式验证此断言(否则未定义),否则该断言不可信任 规范)。
通过其他手段可以验证这种表示形式吗?
我正在阅读此RFC,发现我在google网站上看不到任何信息。 enter image description here有一个段落:
如果响应具有一个
Content-Location
头字段,并且其字段值是对不同于有效请求URI的URI的引用,则发送方断言有效负载是{标识的资源的表示形式{1}}字段值。但是,除非可以通过其他方式验证此断言(否则未定义),否则该断言不可信任 规范)。
通过其他手段可以验证这种表示形式吗?
规范在这一点上说了更多further down:
如果
Content-Location
(成功)响应消息中包含2xx
,并且其字段值引用的是与有效请求URI不同的URI,则原始服务器声称该URI是对应于所包含表示形式的不同资源的标识符。仅当两个标识符共享相同的资源所有者(无法通过HTTP以编程方式确定)时,此类声明才能被信任。
因此,如果所请求的资源和Content-Location
资源具有相同的所有者,那么您可以信任该声明。您如何确定呢?
可以想象编程的方式,例如检查相应URL所提供的证书。但是,实际上,我怀疑这归结为使用简单规则来决定信任谁的客户。例如,如果Content-Location
URI与资源具有相同的域,则您可能会决定声明可以被信任。
或者,您可以选择隐式信任某些列入白名单的域的任何Content-Location
声明。例如,Instagram应用程序可能会信任其中一台Instagram服务器提出的任何要求。