Security HTTP头与HTML中Unicode编码的安全查询_Security_Http_Character Encoding

Security HTTP头与HTML中Unicode编码的安全查询

security http character-encoding

Security HTTP头与HTML中Unicode编码的安全查询,security,http,character-encoding,Security,Http,Character Encoding,根据OWASP，服务器应为所有通信指定Unicode编码。我已经读过，这可以在HTTP头中设置，也可以在HTML中设置。最佳实践是默认情况下在标题中设置它，但允许在HTML中覆盖它我的问题是，如果服务器在头中设置Unicode编码，而客户端在头中使用编码进行响应，但恶意地在HTML中注入不同的编码，服务器会拒绝它吗？还是会由应用程序来检测？也许这是一个特定于服务器的问题谢谢你的帮助谢谢。HTTP内容类型标题将覆盖这在HTML规范的第5.2.2节中：一致性用户代理在确定文档的字符编码（从

根据OWASP，服务器应为所有通信指定Unicode编码。我已经读过，这可以在HTTP头中设置，也可以在HTML中设置。最佳实践是默认情况下在标题中设置它，但允许在HTML中覆盖它

我的问题是，如果服务器在头中设置Unicode编码，而客户端在头中使用编码进行响应，但恶意地在HTML中注入不同的编码，服务器会拒绝它吗？还是会由应用程序来检测？也许这是一个特定于服务器的问题

谢谢你的帮助

谢谢。

HTTP

内容类型

标题将覆盖

这在HTML规范的第5.2.2节中：

一致性用户代理在确定文档的字符编码（从最高优先级到最低优先级）时必须遵守以下优先级：

“内容类型”字段中的HTTP“字符集”参数
一个元声明，其中“http equiv”设置为“Content Type”，值设置为“charset”
[……]

“客户端响应”是什么意思？对不起，请将其改为“当客户端与服务器通信时，它还将在标题中包含编码”。根据：HTML覆盖标题，以便文档作者可以自己设置它？“最佳。字符编码在服务器级别正确设置，默认情况下作者可以覆盖，或者在每个文档的基础上”最佳解决方案是让作者能够覆盖HTTP头的默认选择（例如使用Apache

.htaccess

文件），不使用文档本身中的

元字符集

。再看一看“用户代理将尝试，按以下顺序：…”以澄清。