在实践中,虽然有一些规则禁止代理不传递某些标头(实际上,相当明确的规则可以对其进行修改,甚至禁止如何通知代理它是否可以修改由更高标准添加的新标头),但这仅是适用于“透明”代理,并非所有代理都是透明的。特别是,某些不了解的擦除标头是故意的安全实践。
另外,在实践中,某些工具的行为不当(尽管情况比以前要好得多)。
因此,除了显而易见的核心标头之外,您可以依靠的标头信息量(从服务器传递到客户端)为零。
这只是您永远不应该依赖标头使用得很好的原因之一(例如,准备让客户端重复请求它应该缓存的内容,或者让服务器在您请求范围时发送整个实体)
),除非出现身份验证标头的明显情况(根据“不安全的原则”)。
