HTTP首部字段是可以自行扩展的。所以在Web服务器和浏览器的应用上，会出现各种非标准的首部字段。

首部字段X-Frame-Options属于HTTP响应首部，用于控制网站内容在其他Web网站的Frame标签内的显示问题。其主要目的是为了防止点击劫持（clickjacking）攻击。

X-Frame-Options: DENY

首部字段X-Frame-Options有以下两个可指定的字段值：

•  DENY：拒绝

•  SAMEORIGIN：仅同源域名下的页面匹配时许可。
  

首部字段X-XSS-Protection属于HTTP响应首部，它是针对跨站脚本攻击（XSS）的一种对策，用于控制浏览器XSS防护机制的开关。

X-XSS-Protection: 1

首部字段X-XSS-Protection可指定的字段值如下：

• 0 ：将XSS过滤设置成无效状态

• 1 ：将XSS过滤设置成有效状态
  

首部字段DNT属于HTTP请求首部，其中DNT是Do Not Track的简称，意为拒绝个人信息被收集，是表示拒绝被精准广告追踪的一种方法。

DNT: 1

首部字段DNT可指定的字段值如下：

• 0 ：同意被追踪

• 1 ：拒绝被追踪
  

首部字段P3P属于HTTP响应首部，通过利用P3P（The Platform for Privacy Preferences，在线隐私偏好平台）技术，可以让Web网站上的个人隐私变成一种仅供程序可理解的形式，以达到保护用户隐私的目的。

P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa =>
IVAa IVDa OUR BUS IND UNI COM NAV INT"

要进行P3P的设定，需按以下操作步骤进行：

1. 创建P3P隐私；

2. 创建P3P隐私对照文件后，保存命名在/w3c/p3p.xml；

3. 从P3P隐私中新建Compact policies后，输出到HTTP响应中。
   

在HTTP等多种协议中，通过给非标准参数加上前缀X-，来区别于标准参数，并使那些非标准的参数作为扩展变成可能。但是这种简单粗暴的做法有百害而无一益，因此在“RFC 6648-Deprecating the "X-" Prefix and Similar Constructs in Application Protocols”中提议停止该做法。然而，对已经在使用中的X-前缀来说，不应该要求其变更。