HTTP依赖权威响应的概念：在响应消息发起时，给定目标资源的状态，由目标URI内所标识的权限（或在其方向上）确定的响应是针对该请求的最合适的响应。从非权威资源（例如共享缓存）提供响应通常对于性能和可用性是有帮助的，但是仅限于资源可以被信任或者不可信的资源能被安全使用的程度。

不信的是，建立权威可能很困难。例如，网络钓鱼攻击是对用户的权威认知的一种攻击，这种认知可能通过在超文本中呈现类似的品牌而受到误导，可能是由用户信息混淆权威组件（参见第2.7.1节）的帮助。用户代理可以通过使用户在执行操作之前轻松检查目标URI，通过明显地区分（或拒绝）存在的用户信息，以及在引用文档来自未知或不可信源时不发送存储的凭证和cookie，来降低网络钓鱼攻击的影响。

当一个被注册的名字被用于权威组建，“http”URI方案（2.7.1节）依赖用户的本地名称解析服务来决定哪里可以找到权威响应。这意味着对用户网络主机表，缓存名称或名称解析库的任何攻击都会成为攻击建立权限的途径。同样，用户对域名服务（DNS）服务器的选择以及从中获得解析结果的服务器层次结构可能会影响地址映射的真实性; DNS安全扩展（DNSSEC，[RFC4033]）是提高真实性的一种方法。

而且，在获得IP地址之后，建立“http”URI的权限容易受到Internet协议路由的攻击。

如果协商的TLS连接是安全的，并且客户端正确地验证了通信服务器的身份匹配，则“https”方案（第2.7.2节）旨在防止（或至少泄露）这些潜在的攻击。 目标URI的权限组件（见[RFC2818]）。 正确地执行这种验证可能是困难的（见[Georgiev]）。