Passa al contenuto principale

7.2.3. Scelta dei componenti del messaggio (Choosing Message Components)

7.2.3. Scelta dei componenti del messaggio (Choosing Message Components)

Le applicazioni delle firme dei messaggi HTTP devono decidere quali componenti del messaggio saranno coperti dalla firma. A seconda dell'applicazione, alcuni componenti potrebbero essere attesi come modificati dagli intermediari prima della verifica della firma. Se questi componenti sono coperti, tali modifiche romperebbero, per progetto, la firma.

Tuttavia, questo documento consente flessibilità nel determinare quali componenti sono firmati proprio affinché una data applicazione possa scegliere le porzioni appropriate del messaggio che devono essere firmate, evitando componenti problematici. Ad esempio, un framework di applicazione web che si affida alla riscrittura dei parametri di query potrebbe evitare di usare il componente derivato @query a favore dell'indicizzazione secondaria del valore di query usando invece componenti derivati @query-param.

Alcuni componenti sono attesi come modificati dagli intermediari e non dovrebbero essere firmati nella maggior parte delle circostanze. I campi Via e Forwarded, ad esempio, sono attesi come manipolati da proxy e altri middlebox, inclusa la sostituzione o l'eliminazione completa di valori esistenti. Questi campi non dovrebbero essere coperti dalla firma, eccetto in scenari molto limitati e strettamente accoppiati.

Ulteriori considerazioni per la scelta degli aspetti della firma sono discusse nella Sezione 1.4.

Ultimo aggiornamento il