PHP header()

定义和用法

header() 函数向客户端发送原始的 HTTP 报头。

认识到一点很重要，即必须在任何实际的输出被发送之前调用 header() 函数（在 PHP 4 以及更高的版本中，您可以使用输出缓存来解决此问题）：

1. <html>  
2. <?php  
3. // 结果出错  
4. // 在调用 header() 之前已存在输出  
5. header('Location: http://www.example.com/');  
6. ?>  

提示和注释

从 PHP 4.4 之后，该函数防止一次发送多个报头。这是对头部注入攻击的保护措施。

1. <?php  
2. // Date in the past  
3. header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");  
4. header("Cache-Control: no-cache");  
5. header("Pragma: no-cache");  
6. ?>  
7.   
8. <html>  
9. <body>  
10.   
11. ...  
12. ...  

用户可能会设置一些选项来更改浏览器的默认缓存设置。通过发送上面的报头，您可以覆盖任何这些设置，强制浏览器不进行缓存！

提示用户保存一个生成的 PDF 文件（Content-Disposition 报头用于提供一个推荐的文件名，并强制浏览器显示保存对话框）：

1. <?php  
2. header("Content-type:application/pdf");  
3.   
4. // 文件将被称为 downloaded.pdf  
5. header("Content-Disposition:attachment;filename='downloaded.pdf'");  
6.   
7. // PDF 源在 original.pdf 中  
8. readfile("original.pdf");  
9. ?>  
10.   
11. <html>  
12. <body>  
13.   
14. ...  
15. ...  

微软 IE 5.5 存在一个阻止以上机制的 bug。通过升级为 Service Pack 2 或更高的版本，可以解决该 bug。

有两种特殊的 header 调用。第一种是标头以字符串“HTTP/”（大小写不重要）开头的，可以用来确定要发送的 HTTP 状态码。例如，如果配置了 Apache 用 PHP 来处理找不到文件的错误处理请求（使用 ErrorDocument 指令），需要确保脚本产生了正确的状态码。

1. <?php  
2. header("HTTP/1.0 404 Not Found")  
3. ?>  

HTTP 状态码标头行总是第一个被发送到客户端，而并不管实际的 header() 调用是否是第一个。除非 HTTP 标头已经发送出去，任何时候都可以通过用新的状态行调用 header() 函数来覆盖原先的。

第二种特殊情况是以“Location:”标头。它不只是把这个标头发送回浏览器，它还将一个 REDIRECT（302）状态码返回给浏览器，除非之前已经发出了某个 3xx 状态码。

1. <?php  
2. header("Location: http://www.example.com/"); /* 重定向浏览器 */  
3.   
4. /* 确保重定向后，后续代码不会被执行 */  
5. exit;  
6. ?>  

HTTP/1.1 标准需要一个绝对地址的 URI 做为 Location: 的参数, 但有一些客户端支持相对 URI。通常可以使用 $_SERVER['HTTP_HOST']、$_SERVER['PHP_SELF'] 及 dirname() 函数来自己从相对 URI 产生出绝对 URI：

1. <?php  
2. header("Location: http://".$_SERVER['HTTP_HOST']  
3.                         . rtrim(dirname($_SERVER['PHP_SELF']), '/\\')  
4.                        ."/".$relative_url);  
5. ?>  

即使启用了 session.use_trans_sid，Session ID 也不会随着 Location 头信息被传递。必须手工用 SID 常量来传递。

PHP 脚本通常会产生一些动态内容，这些内容必须不被浏览器或代理服务器缓存。很多代理服务器和浏览器都可以被下面的方法禁止缓存：

1. <?php  
2. header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1  
3. header("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); // 过去的时间  
4. ?>   

可能会发现即使不输出上面所有的代码，网页也没有被缓冲。用户有很多选项可以设置来改变浏览器的默认缓存行为。通过发送上述标头，应该可以覆盖任何可以导致脚本页面被缓存的设置。

另外，当使用了 session 时，利用 session_cache_limiter() 函数和 session.cache_limiter 选项可以用来自动产生正确的缓存相关标头。

要记住 header() 必须在任何实际输出之前调用，不论是来自普通的 HTML 标记，空行或者 PHP。有一个常见错误就是在通过 include()，require() 或一些其它的文件存取类函数读取代码时，有一些空格或者空行在调用 header() 之前被发送了出去。同样在一个单独的 PHP/HTML 文件中这个错误也很普遍。

1. <?php  
2. /* 这将产生一个错误，因为在调 header() 
3. * 之前已经输出了东西 */  
4. header('Location: http://www.example.com/');  
5. ?>   

自 PHP 4 起，可以通过一些输出缓冲函数来解决这个问题。代价是把所有向浏览器的输出都缓存在服务器，直到下命令发送它们。可以在代码中使用 ob_start() 及 ob_end_flush() 来实现这样的功能，或者通过修改 php.ini 中的 output_buffering 配置选项来实现，也可以通过修改服务器配置文件来实现。

如果想提示用户保存所发送的数据，例如一个生成的 PDF 文件，可以通过发送 Content-Disposition 标头提供推荐的文件名来强制浏览器弹出一个保存文件对话框。

1. <?php  
2. // 这样将会直接输出一个 PDF 文件  
3. header('Content-type: application/pdf');  
4.   
5. // 这样做就会提示下载 PDF 文件 downloaded.pdf  
6. header('Content-Disposition: attachment; filename="downloaded.pdf"');  
7.   
8. // 这是 original.pdf 的源文件  
9. readfile('original.pdf');  
10. ?>