我正在阅读此RFC,以至于我在google网站上看不到任何信息。 Section 3.1.4.1. Identifying a Representation有一个段落:
如果响应具有
Content-Location头字段,并且其字段值是对不同于有效请求URI的URI的引用,则发送方断言有效负载是Content-Location字段标识的资源的表示形式-值。但是,除非可以通过其他方式验证此断言(否则未定义),否则该断言不可信任规格)。
可以通过其他方式验证这种表示形式吗?
规范在这一点上说了更多further down:
如果
Content-Location(成功)响应消息中包含2xx,并且其字段值引用的是与有效请求URI不同的URI,则原始服务器声称该URI是其他资源的标识符对应于随附的表示形式。仅当两个标识符共享相同的资源所有者(无法通过HTTP以编程方式确定)时,才可以信任此声明。]因此,如果所请求的资源和
Content-Location资源具有相同的所有者,您可以信任该声明。您如何确定?
人们可以想象编程方式,例如检查相应URL所提供的证书。但是,实际上,我怀疑这归结为使用简单规则来决定信任谁的客户。例如,如果Content-Location URI与资源具有相同的域,则可以确定声明可以被信任。
或者,您可以选择隐式信任某些列入白名单的域提出的任何Content-Location声明。例如,Instagram应用程序可能会信任其中一台Instagram服务器提出的任何声明。