HTTP首部
HTTP报文首部结构
复习一下前边的知识:
HTTP报文大致可分为报文首部和报文主体两块,通常并不一定要有报文主体
请求报文及响应报文的结构
请求报文结构如下:
- 报文首部
- 请求行
- 请求首部字段
- 通用首部字段
- 实体首部字段
- 其他(如Cookie)
- 空行换行(CR+LF)
- 报文主体
响应报文结构如下:
- 报文首部
- 状态行
- 响应首部字段
- 通用首部字段
- 实体首部字段
- 其他(如Cookie)
- 空行换行(CR+LF)
- 报文主体
HTTP首部字段
HTTP首部字段是构成HTTP报文的要素之一,它给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容
HTTP首部字段结构
HTTP首部字段由首部字段名和字段值构成,中间用冒号“:”分隔
首部字段名:字段值, 例如:Content-Type:text/html
同一个字段名可以有多个字段值,如:
Keep-Alive:timeout=15, max=100
HTTP首部字段类型
HTTP首部字段根据实际用途被分为以下4种类型
- 通用首部字段
- 请求首部字段
- 相应首部字段
- 实体首部字段
HTTP/1.1 首部字段一览
HTTP/1.1规范定义了如下47种首部字段
除了这47种,还有Cookie、Set-Cookie和Content-Disposition等其他RFC种定义的首部字段用的比较多
End-to-End首部和Hop-by-hop首部
HTTP首部字段将定义成缓存代理和非缓存代理的行为分成2种:
端到端首部 和 逐跳首部
HTTP/1.1 通用首部字段
Cache-Control
Cache-Control能够控制缓存的行为,Cache-Control指令一览
缓存请求指令:
- max-age(秒):响应的最大age值
- min-fresh: 期望在指定时间内的响应仍有效
- max-stale:接收已过期的响应
- no-cache:不接收缓存的数据
- no-store:不缓存任何内容
- no-transform:代理不可更改媒体类型
- only-if-cached:只从代理的缓存获取资源
- cache-extension:新指令标记
缓存响应指令:
- public:可向任意方提供响应
- private:仅向特定用户返回响应
- no-cache:缓存前必须确认其有效性
- no-store:不缓存任何内容
- no-transform:代理不可更改媒体类型
- must-revalidate:可缓存但必须向源服务器进行确认
- proxy-revalidate:
- max-age:响应的最大Age值
- s-maxage:公共缓存服务器响应的最大Age值
- cache-extension:新指令标记
Connection
Connection首部字段具备如下两个作用:
- 管理持久连接
- 控制不再转发给代理的首部字段
HTTP/1.1之前版本的默认连接都是非持久连接,如果要在旧版本的HTTP协议上维持持续连接,则需要指定Connection:Keep-Alive
Connection:close表示断开连接
Date
首部字段Date表明创建报文的日期和时间
Transfer-Encoding
首部字段Transfer-Encoding规定了传输报文主体时采用的编码方式
HTTP/1.1的传输编码方式仅对分块传输编码有效
Via
Via记录了客户端和服务器之间的请求和响应报文的传输路径
Upgrade
Upgrade用于检测HTTP协议及其他协议是否可使用更高的版本进行通信,其参数值可以用来指定一个完全不同的通信协议
Trailer
Trailer说明了在报文主体后记录了哪些首部字段
Warning
该首部通常会告知用户一些与缓存相关的问题警告
请求首部字段
Host
Host表示资源所处的互联网主机名和端口号,该字段是HTTP/1.1规范内唯一一个必须被包含在请求内的首部字段
Accept
Accetp首部字段可通知服务器,客户端能够处理的媒体类型及媒体类型的优先级,可使用type/subtype这种形式,一次可以指定多种媒体类型
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
举几个常见媒体类型的例子:
- 文本文件
text/html, text/plain, text/css
application/xhtml+xml, application/xml - 图片文件
image/jpeg, image/png, image/gif - 视频文件
video/mpeg, video/quicktime - 应用程序使用的二进制文件
application/octet-stream, application/zip
q=0.9表示权重,默认值为1.0,且1为最大值。当服务器提供多种内容时,将会首先返回权重高的媒体类型
Accept-Charset
Accept-Charset首部字段可用来通知服务器客户端支持的字符集及优先顺序,用q值来表示相对优先级
Accept-Charset:iso-8859-5, utf-8;q=0.8
Accept-Encoding
Accept-Encoding用来告知服务器客户端支持的内容编码及优先级顺序,可一次性指定多种内容编码,常见的集中编码格式:
- gzip
- compress
- deflate
- identity
采用q值来表示优先级,可使用星号*指定任意格式的编码格式
Accept-Language
Accept-Language告知服务器客户端能够处理的自然语言集,可用q值表示优先级
Accept-Language:zh-cn,zh;q=0.7,en-us,en;q=0.3
User-Agent
User-Agent会将客户端的浏览器和其他信息发送给服务器
Authorization
Authorization用来告知服务器客户端的认证信息(证书值)
Proxy-Authorization
此认证发生在客户端和代理之间
From
客户端的邮件地址
If-Match
形如If-xxx这种形式的请求首部字段,都可成为条件请求。服务器接收到附带条件的请求后,只有判断指定条件为真时,才会执行请求
If-Match的字段值会和服务器端实体标记ETag匹配,一致时服务器才会接受请求,反之则返回状态码412 Precondition Failed
If-Modified-Since
if-none-match
与if-match的作用相反,只有在if-none-match字段值与ETag值不一致时才处理该请求
在Get或Head方法中使用if-none-match可获取最新的资源
If-Range
If-Unmodified-Since
与If-Modified-Since的作用相反
Max-Forwards
Max-Forwards:5
每次转发数值减1,当数值变成0时返回响应。可以避免由于位置原因而导致的请求陷入循环
Range
Range:bytes=5001-10000
对于只需获取部分资源的范围请求,包含首部字段Range即可告知服务器资源的指定范围
接收到Range首部字段请求的服务器,会在请求之后返回状态码206 Partial Content的响应,无法处理该范围请求时,则会返回200 ok的响应及全部资源
Referer
Referer会告知服务器请求的原始资源的URI,其中可能含有ID和密码等保密信息,写进Referer有可能导致泄密
TE
TE:gzip, deflate;q=0,5
TE会告知服务器客户端能够处理响应的传输编码方式及优先级,而Accept-encoding怎表示内容的编码的方式
还可指定伴随Trailer字段的分块传输编码的方式
响应首部字段
Accept-Ranges
Accept-Ranges是用来告知客户端服务器是否能处理范围请求,以指定获取服务器端某个部分的资源
可指定的字段有两种,可处理范围请求时为bytes,反之为none
Accept-Ranges:bytes
Age
Age:60
Age告知客户端,源服务器在多久前创建了响应,单位是秒
ETag
ETag:"82ec22325w"
ETag是资源的唯一标识,以字符串方式表示,服务器会为每份资源分配对应的ETag值。当资源更新时,ETag值也需要更新
强ETag和弱ETag
- 强ETag
无论实体发生多么细微的变化都会改变其值 - 弱ETag
只有资源发生了根本改变,产生差异时才会改变ETag值,在字段开始处附加W/ETag:W/"usagi-1234"
Location
Location可以将响应接收方引导至某个新的URI,基本上,该字段会配合3XX的响应,提供重定向的URI
Server
Server表示了服务器上安装的HTTP服务器应用程序的信息
Server: Apache/2.2.6(Unix) PHP/5.2.5
Retry-after
Retry-after: 120(或是日期时间)
告知客户端应该在多久之后再次发送请求,配合503 或 3xx一起使用
WWW-Atuthenticate
WWW-Atuthenticate: Basic realm="usagidesign Auth"
WWW-Atuthenticate用于HTTP访问认证,它会告知客户端适用于访问请求URI的认证方案
Proxy-Atuthenticate
和WWW-Atuthenticate一样,不过是发生在客户端和代理之间
Vary
Vary: Accept-Language
Vary可以控制代理的缓存,只返回Accept-Language值相同的缓存
实体首部字段
Allow
405 Method Not Allowed
Allow: GET, POST
该字段用于通知客户端能够支持的Request的HTTP方法,当服务器接收到不支持的HTTP方法时,返回405 Method Not Allowed作为响应,同时将支持的方法写入Allow返回
Content-Location
与Location不同,Content-Location表示的是报文主体返回资源对应的URI
Content-Encoding
Content-Encoding: gzip
Content-Encoding表示实体主体的编码方式
Content-Language
Content-Language表示主体使用的自然语言
Content-Length
Content-Length表明了实体主体的大小,单位是字节。如果主体进行了编码传输,则不再使用此字段
Content-MD5
Content-MD5是一串由MD5算法生成的值,其目的在于检查报文主体在传输过程中是否保持完整,以确认传输到达
对报文主体执行MD5算法获得128位二进制数,再通过Base64编码后将结果写入Content-MD5字段,由于HTTP首部无法记录二进制值,所以要通过Base64编码。接收方收到后对报文主体再执行一次相同的MD5算法,通过比较值来判断主体的准确性
有被篡改的可能
Content-type
Content-type: text/html; charset=UTF-8
和Accept一样,Content-type表示了实体主体对象的媒体类型
Content-Range
针对范围请求,返回响应时使用Content-Range可以告知客户端返回的哪个范围,单位是字节
Expires
Expires: Wed, 04 Jul 2012 08:26:05 GMT
Expires表示了资源的有效期,如果在有效期内,缓存服务器会以缓存来应答请求,如果过了有效期则从源服务器请求资源。
如果不希望缓存服务器对资源缓存时,则将Expires值和Date值设置为相等
当首部字段Cache-Control有指定max-age时,会优先处理max-age
Last-Modified
Last-Modified: Thurs, 30 Jun 2016 18:00:00 GMT
Last-Modified表示资源最终修改的时间
为Cookie服务的首部字段
Set-Cookie
Set-Cookie: status=enable; expires=Thurs, 30 Jun 2016 18:00:00 GMT; path=/; domain=.hackr.jp;
下面是一个Set-Cookie的例子:
Set-Cookie: laravel_session=eyJpdiI6IjJnN1Rwd;
expires=Thu, 30-Jun-2016 12:37:37 GMT;
Max-Age=7200;
path=/;
HttpOnly
Cookie
Cookie: laravel_session=eyJpdiI6IjJnN1Rwd
客户端接收到的服务器端发送的Cookie
其他首部字段
- X-Frame-Options
- X-XSS-Protection
- DNT
- P3P
X-Frame-Options
该字段属于响应首部,用于控制网站内容在其他web网站的Frame标签内的显示问题,主要目的是为了防止点击劫持攻击
有两个字段值:
- DENY
拒绝 - SAMEORIGIN
仅同域名下的页面匹配时许可
X-XSS-Protextion
X-XSS-Protextion: 1
该字段属于响应首部,踏实针对跨站脚本攻击(XSS)的一种对策,用0和1来控制浏览器XSS防护机制的开关
P3P
该字段属于响应首部,通过利用P3P技术,可以让web网站上的个人隐私编程一种仅供程序可理解的形式,以达到保护用户隐私的目的
DNT
DNT: 1
该字段属于请求首部,DNT是Do not track的简称,意为拒绝个人信息被收集,用0和1来控制,可以拒绝被精准广告追踪
补充说明:
Accept和content-type的区别,accept表示发送方(客户端)希望接收的资源类型,而content-type表示发送方发送的资源类型
