滲透測試可能遇到哪些響應訊息頭？web網路安全

滲透測試員在攻擊Web應用程式時可能遇到哪些響應訊息頭？HTTP支援許多不同的訊息頭，其中一些專用於特殊用途。一些訊息頭可用在請求與響應中，而其他一些訊息頭只能專門用在某個特定的訊息中。那麼滲透測試可能遇到的響應訊息頭有什麼？

響應訊息頭

Access-Control-Allow-Origin。用於指示可否透過跨域Ajax請求獲取資源。

Cache-Control。用於向瀏覽器傳送快取指令。

ETag。用於指定一個實體標籤。客戶端可在將來的請求中提交這個識別符號。

Expires。用於向瀏覽器說明訊息主體內容的有效時間。在這個時間之前，瀏覽器可以使用這個資源的快取副本。

Location。用於在重定向響應中說明重定向的目標。

Pragma。用於向瀏覽器傳送快取指令。

Server。提供所使用的Web伺服器軟體的相關資訊。

Set-Cookie。用於向瀏覽器釋出cookie，瀏覽器會在隨後的請求中將其返回給伺服器。

WWW-Authenticate。用在帶401狀態碼的響應中，提供與伺服器所支援的身份驗證型別有關的資訊。

X-Frame-Options。指示瀏覽器框架是否及如何載入當前響應。