跳到主要内容

5. 安全考虑事项 (Security Considerations)

安全关键参数的互操作性和迁移问题可能导致不必要的漏洞. 因此, 实现者必须理解 "X-" 惯例的成本大于收益.

如果安全相关参数因为前缀差异而被不同实现以不同方式处理, 攻击者可能利用这种差异绕过检查、触发降级路径或制造配置误解. 当一个带 "X-" 前缀的参数已经被部署后, 后续迁移到无前缀名称还可能导致两个名称长期并存, 进一步扩大策略判断和日志审计的复杂度.

因此, 安全敏感协议尤其不应把名称前缀当作信任边界或安全状态标记. 参数是否安全、是否标准化、是否允许使用, 应由明确规范和注册流程决定.