1. 17 IANA 考虑因素
    1. 17.1 text/html
    2. 17.2 multipart/x-mixed-replace
    3. 17.3 application/xhtml+xml
    4. 17.4 text/ping
    5. 17.5 application/microdata+json
    6. 17.6 text/event-stream
    7. 17.7 web+ 模式前缀

17 IANA 考虑因素

17.1 text/html

此注册信息供社区审查,并将提交给 IESG 进行审查、批准和 IANA 注册。

类型名称
text
子类型名称
html
必需参数
无必需参数
可选参数
charset

可以提供 charset 参数来指定文档的字符编码,覆盖文档中除字节顺序标记 (BOM) 之外的任何字符编码声明。参数的值必须与字符串“utf-8”进行ASCII 不区分大小写匹配。 [ENCODING]

编码注意事项
8 位(参见关于字符编码声明的部分)
安全注意事项

已经写了整本小说来描述适用于 HTML 文档的安全注意事项。本文档中列出了许多内容,读者可以参考以了解更多详细信息。但是,这里需要提及一些一般问题

HTML 是一种脚本语言,并且有大量的 API(其中一些在本文件中描述)。脚本可能会让用户面临信息泄露、凭据泄露、跨站点脚本攻击、跨站点请求伪造以及其他一系列问题的潜在风险。虽然本规范中的设计旨在在正确实现的情况下是安全的,但完整的实现是一项艰巨的任务,并且与任何软件一样,用户代理可能存在安全漏洞。

即使没有脚本,HTML 中也有一些特定功能,由于历史原因,它们需要与旧版内容广泛兼容,但这些功能会让用户面临不幸的安全问题。特别是,img 元素可以与其他一些功能结合使用,作为从用户在互联网上的位置进行端口扫描的一种方式。这可能会暴露本地网络拓扑,而攻击者在其他情况下无法确定这些拓扑。

HTML 依赖于一种有时称为同源策略的分区方案。在大多数情况下,包括来自同一主机、同一端口、使用同一协议的所有页面。

因此,至关重要的是要确保构成站点一部分的任何不受信任的内容都托管在与该站点上任何敏感内容不同的上。不受信任的内容可以轻松伪造同一源上的任何其他页面,读取来自该源的数据,导致该源中的脚本执行,向该源提交和从该源接收表单,即使它们受到唯一令牌保护以防止跨站点请求伪造攻击,以及利用公开给该源或授予该源的任何第三方资源和权限。

互操作性注意事项
本规范中定义了处理符合和不符合规范内容的规则。
已发布规范
本文档是相关规范。使用text/html类型标记资源表明该资源是使用HTML 语法HTML 文档
使用此媒体类型的应用程序
Web 浏览器、用于处理 Web 内容的工具、HTML 创作工具、搜索引擎、验证器。
其他信息
幻数
没有字节序列可以唯一地识别 HTML 文档。有关检测 HTML 文档的更多信息,请参见MIME 嗅探[MIMESNIFF]
文件扩展名
html”和“htm”通常(但肯定不是唯一地)用作 HTML 文档的扩展名。
Macintosh 文件类型代码
TEXT
联系以获取更多信息的个人和电子邮件地址
Ian Hickson <[email protected]>
预期用途
常见
使用限制
不适用任何限制。
作者
Ian Hickson <[email protected]>
变更控制者
W3C

text/html资源一起使用的片段要么引用相应文档指示部分,要么为页面内脚本提供状态信息。

17.2 multipart/x-mixed-replace

此注册信息供社区审查,并将提交给 IESG 进行审查、批准和 IANA 注册。

类型名称
multipart
子类型名称
x-mixed-replace
必需参数
可选参数
无可选参数。
编码注意事项
二进制
安全注意事项
multipart/x-mixed-replace资源的子资源可以是任何类型,包括具有非平凡安全影响的类型,例如text/html
互操作性注意事项
无。
已发布规范
本规范描述了 Web 浏览器的处理规则。生成具有此类型的资源的符合性要求与multipart/mixed相同。 [RFC2046]
使用此媒体类型的应用程序
此类型旨在用于 Web 服务器生成的资源,供 Web 浏览器使用。
其他信息
幻数
没有字节序列可以唯一地识别multipart/x-mixed-replace资源。
文件扩展名
不建议为此类型使用特定的文件扩展名。
Macintosh 文件类型代码
不建议为此类型使用特定的 Macintosh 文件类型代码。
联系以获取更多信息的个人和电子邮件地址
Ian Hickson <[email protected]>
预期用途
常见
使用限制
不适用任何限制。
作者
Ian Hickson <[email protected]>
变更控制者
W3C

multipart/x-mixed-replace资源一起使用的片段适用于由该主体部分使用的类型定义的每个主体部分。

17.3 application/xhtml+xml

此注册信息供社区审查,并将提交给 IESG 进行审查、批准和 IANA 注册。

类型名称
application
子类型名称
xhtml+xml
必需参数
application/xml相同 [RFC7303]
可选参数
application/xml相同 [RFC7303]
编码注意事项
application/xml相同 [RFC7303]
安全注意事项
application/xml相同 [RFC7303]
互操作性注意事项
application/xml相同 [RFC7303]
已发布规范
使用application/xhtml+xml类型标记资源表明该资源是一个 XML 文档,该文档可能具有来自HTML 命名空间文档元素。因此,相关规范是XMLXML 中的命名空间和本规范。 [XML] [XMLNS]
使用此媒体类型的应用程序
application/xml相同 [RFC7303]
其他信息
幻数
application/xml相同 [RFC7303]
文件扩展名
xhtml”和“xht”有时用作具有来自HTML 命名空间文档元素的 XML 资源的扩展名。
Macintosh 文件类型代码
TEXT
联系以获取更多信息的个人和电子邮件地址
Ian Hickson <[email protected]>
预期用途
常见
使用限制
不适用任何限制。
作者
Ian Hickson <[email protected]>
变更控制者
W3C

application/xhtml+xml资源一起使用的片段与任何XML MIME 类型具有相同的语义。 [RFC7303]

17.4 text/ping

此注册信息供社区审查,并将提交给 IESG 进行审查、批准和 IANA 注册。

类型名称
text
子类型名称
ping
必需参数
无参数
可选参数
charset

可以提供 charset 参数。参数的值必须为“utf-8”。此参数没有任何作用;仅允许为了与旧版服务器兼容。

编码注意事项
不适用。
安全注意事项

如果仅以超链接审核上下文中描述的方式使用,则此类型不会引入任何新的安全问题。

互操作性注意事项
适用于此类型的规则在本规范中定义。
已发布规范
本文档是相关规范。
使用此媒体类型的应用程序
Web 浏览器。
其他信息
幻数
text/ping资源始终由四个字节 0x50 0x49 0x4E 0x47(`PING`)组成。
文件扩展名
不建议为此类型使用特定的文件扩展名。
Macintosh 文件类型代码
不建议为此类型使用特定的 Macintosh 文件类型代码。
联系以获取更多信息的个人和电子邮件地址
Ian Hickson <[email protected]>
预期用途
常见
使用限制
仅用于与作为 Web 浏览器处理ping属性的一部分生成的 HTTP POST 请求一起使用。
作者
Ian Hickson <[email protected]>
变更控制者
W3C

text/ping资源一起使用的片段没有任何意义。

17.5 application/microdata+json

此注册信息供社区审查,并将提交给 IESG 进行审查、批准和 IANA 注册。

类型名称
application
子类型名称
microdata+json
必需参数
application/json相同 [JSON]
可选参数
application/json相同 [JSON]
编码注意事项
8 位(始终为 UTF-8)
安全注意事项
application/json相同 [JSON]
互操作性注意事项
application/json相同 [JSON]
已发布规范
使用application/microdata+json类型标记资源,表示该资源是一个JSON文本,包含一个对象,该对象只有一个名为“items”的条目,该条目包含一个条目数组,每个条目包含一个对象,该对象包含一个名为“id”的条目(其值为字符串),一个名为“type”的条目(其值为另一个字符串),以及一个名为“properties”的条目(其值为一个对象,该对象中的每个条目的值都包含一个数组,数组中的元素可以是对象或字符串,对象与上述“items”条目中的对象具有相同的形式)。因此,相关的规范是JSON和本规范。 [JSON]
使用此媒体类型的应用程序

用于传输旨在与HTML的微数据功能一起使用的数据的应用程序,尤其是在拖放上下文中,是此类型的主要应用程序类别。

其他信息
幻数
application/json相同 [JSON]
文件扩展名
application/json相同 [JSON]
Macintosh 文件类型代码
application/json相同 [JSON]
联系以获取更多信息的个人和电子邮件地址
Ian Hickson <[email protected]>
预期用途
常见
使用限制
不适用任何限制。
作者
Ian Hickson <[email protected]>
变更控制者
W3C

application/microdata+json资源一起使用的片段与与application/json一起使用时的语义相同(即,在撰写本文时,根本没有语义)。 [JSON]

17.6 text/event-stream

此注册信息供社区审查,并将提交给 IESG 进行审查、批准和 IANA 注册。

类型名称
text
子类型名称
事件流
必需参数
无参数
可选参数
charset

可以提供 charset 参数。参数的值必须为“utf-8”。此参数没有任何作用;仅允许为了与旧版服务器兼容。

编码注意事项
8 位(始终为 UTF-8)
安全注意事项

来自与使用事件流的内容来源不同的来源的事件流可能导致信息泄漏。为避免这种情况,用户代理需要应用CORS语义。 [FETCH]

事件流可能会压垮用户代理;预计用户代理会应用适当的限制,以避免因事件流中的信息过多而耗尽本地资源。

如果出现服务器导致客户端快速重新连接的情况,服务器可能会不堪重负。服务器应使用5xx状态代码来指示容量问题,因为这将阻止符合标准的客户端自动重新连接。

互操作性注意事项
本规范中定义了处理符合和不符合规范内容的规则。
已发布规范
本文档是相关规范。
使用此媒体类型的应用程序
使用Web服务的Web浏览器和工具。
其他信息
幻数
没有任何字节序列可以唯一地识别事件流。
文件扩展名
不建议为此类型使用特定的文件扩展名。
Macintosh 文件类型代码
不建议为此类型使用特定的 Macintosh 文件类型代码。
联系以获取更多信息的个人和电子邮件地址
Ian Hickson <[email protected]>
预期用途
常见
使用限制
此格式仅预期用于使用HTTP或类似协议提供的动态开放式流。不期望使用此类型标记有限资源。
作者
Ian Hickson <[email protected]>
变更控制者
W3C

text/event-stream资源一起使用的片段没有任何意义。

17.7 web+方案前缀

本节描述了与IANA URI方案注册表一起使用的约定。它本身并没有注册特定的方案。 [RFC7595]

方案名称
以四个字符“web+”开头,后跟一个或多个范围在a-z之间的字母的方案。
状态
永久的
方案语法
方案特定。
方案语义
方案特定。
编码注意事项
所有“web+”方案在相关情况下都应使用UTF-8编码。
使用此方案名称的应用程序/协议
方案特定。
互操作性注意事项
预期该方案在Web应用程序的上下文中使用。
安全注意事项
任何网页都能够为所有“web+”方案注册处理程序。因此,这些方案不得用于旨在成为核心平台功能的功能(例如,HTTP)。同样,此类方案不得在其URL中存储机密信息,例如用户名、密码、个人信息或机密项目名称。
联系方式
Ian Hickson <[email protected]>
变更控制者
Ian Hickson <[email protected]>
参考文献
自定义方案处理程序,HTML 活跃标准:https://html.whatwg.com.cn/#custom-handlers