本节意图告知开发者,信息提供者,以及用户知道特定于HTTP条件请求的安全问题。更多一般安全注意事项被介绍于HTTP“消息语法和路由”(RFC7230)和“语义和内容”(RFC7231)中。

    本规范定义的校验器不打算确保表示的有效性,防范恶意更改,或中间人攻击。最好的情况,在所有的参与者都表现得良好时,他们能够更高效的更新和乐观的并发写入。最差的情况,条件将会失败并且客户端将收到一个没有条件请求的情况下比HTTP交换更有害的响应。

    实体标签可能被滥用造成隐私风险。例如,一个站点可能故意构造一个语义无效的实体标签,它对于用户或用户代理时唯一的,在一个可缓存的响应中发送它并带有一个长的新鲜度,然后在之后的条件请求中读取那个实体标签作为重识别用户或用户代理的方法。缓存这样的识别标签将变成一个持久标识符,只要用户代理保留者原始缓存实体。无论什么时候用户执行隐私保留操作,如清理被缓存的cookies或者改变到隐私浏览模式,缓存表示的用户代理应该确保缓存被清理或被取代。