Sec-Private-State-Token header
Experimental: This is an experimental technology
Check the Browser compatibility table carefully before using this in production.
Tiêu đề HTTP Sec-Private-State-Token tồn tại cả hai dạng tiêu đề yêu cầu và tiêu đề phản hồi. Nó được dùng bởi Private State Token API trong các yêu cầu phát hành và đổi token để truyền dữ liệu yêu cầu và dữ liệu phản hồi.
Trong quá trình phát hành token, tiêu đề yêu cầu Sec-Private-State-Token chứa một tập hợp các nonce chưa ký, bị che khuất cần thiết để tạo private state token đến máy chủ phát hành. Phản hồi thành công phải bao gồm tiêu đề phản hồi Sec-Private-State-Token chứa các chữ ký bị che khuất, sau đó trình duyệt sẽ bỏ che khuất và lưu cùng với các nonce gốc không bị che khuất trong kho token bảo mật.
Trong quá trình đổi token, tiêu đề yêu cầu Sec-Private-State-Token chứa một token đã ký, không bị che khuất duy nhất cùng với metadata đổi token liên quan. Phản hồi thành công phải bao gồm tiêu đề phản hồi Sec-Private-State-Token chứa bản ghi đổi token đã ký, được trình duyệt lưu trữ bảo mật một lần nữa.
Lưu ý rằng một nhà phát triển không cần phải tạo tiêu đề yêu cầu Sec-Private-State-Token — chúng được tạo tự động bởi trình duyệt khi gọi các yêu cầu fetch token-request và token-redemption của private state token.
| Loại tiêu đề | Fetch Metadata Request Header, Response header |
|---|---|
| Forbidden request header | Có (tiền tố Sec-) |
| CORS-safelisted request header | Không |
Cú pháp
Sec-Private-State-Token: <string>
Máy chủ nên bỏ qua tiêu đề này nếu nó chứa bất kỳ giá trị nào khác.
Chỉ thị
<string>-
Một chuỗi chứa dữ liệu cần thiết cho các yêu cầu và phản hồi thao tác phát hành và đổi private state token.
Ví dụ
Tiêu đề yêu cầu mẫu được gửi trong quá trình phát hành token:
Sec-Private-State-Token: AEB9WGWUx398Pdr0SFE7NDo…
Tiêu đề phản hồi mẫu:
Sec-Private-State-Token: AEB9WGWUxj1085Cuk2qmt3y…
Thông số kỹ thuật
| Thông số kỹ thuật |
|---|
| Private State Token API # sec-private-state-token |