HTTP首部
HTTP
协议的请求和响应报文中必定包含HTTP
首部。首部内容为客户端和服务器端分别处理请求和响应提供所需要的信息。
HTTP
请求报文:由方法、URI
、HTTP
版本、HTTP
首部字段等构成。
HTTP
响应报文:由HTTP
版本、状态码(数字和原因短语)、HTTP
首部字段 3 部分组成。
HTTP首部字段
使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。
4种HTTP首部字段类型
HTTP
首部字段根据实际通途被分为以下4种类型:
- 通用首部字段(General Header Fileds):请求报文和响应报文两方都会使用的首部
- 请求首部字段(Request Header Fields):从客服端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、响应内容相关优先级等信息。
- 响应首部字段(Response Header Fields):从服务器端向客户端返回响应报文时使用的首部。补充了响应的附加内容,也会要求客户端附加额外的内容信息。
- 实体首部字段(Entity Header Fields):针对请求报文和响应报文的实体部分使用的首部。补充了资源内容更新时间等与实体有关的信息。
HTTP/1.1首部字段一览
通用首部字段
首部字段名 | 说明 |
---|---|
Cache-Control | 控制缓存行为 |
Connection | 逐跳首部、连接的管理 |
Date | 创建报文的日期时间 |
Pragma | 报文指令 |
Trailer | 报文末端的首部一览 |
Transfer-Encoding | 指定报文主体的传输编码方式 |
Upgrade | 升级为其他协议 |
Via | 代理服务器的相关信息 |
Warning | 错误通知 |
Cache-Control
的no-cache
指令代表不缓存过期的资源,而不是不缓存。
no-store
才是真正不进行缓存。
Connection
首部字段的值为close
时,代表服务器想明确断开连接(HTTP/1.1默认都是持久连接)
请求首部字段
首部字段名 | 说明 |
---|---|
Accept | 用户代理可处理的媒体类型 |
Accept-Charset | 优先的字符集 |
Accept-Encoding | 优先的内容编码 |
Accept-Language | 优先的语言 |
Authorization | Web认证信息 |
Expect | 期待服务器的行为 |
From | 用户的电子邮箱地址 |
Host | 请求资源所在服务器 |
If-Match | 比较实体标记(ETag) |
If-Modified-Since | 比较资源的更新时间 |
If-Node-Match | 比较实体标记(与If-Match相反) |
If-Range | 资源未更新时发送实体Byte的范围请求 |
If-Unmodified-Since | 比较资源的更新时间(与If-Modified-Since相反) |
Max-Forwards | 最大传输逐跳数 |
Proxy-Authorization | 代理服务器要求客户端的认证信息 |
Range | 实体的字节范围请求 |
Referer | 对请求中URI的原始获取方 |
TE | 传输编码的优先级 |
User-Agent | HTTP客户端程序的信息 |
该表的Accept*
字段都可以指定权重q(0-1)。当服务器提供多种内容时,将会首先返回权重最高的。
If-xxx
请求首部字段都称为条件请求,服务器接收到附带条件的请求后,只有判断指定条件为真时,才回执行请求。当条件与服务器实体标记ETag
匹配一致时,服务器才会接受请求。
Referer
的正确拼写应该是Referrer
。当直接在浏览器的地址栏输入URI
时,或处于安全考虑时,可不发该首部字段。
响应首部字段
首部字段名 | 说明 |
---|---|
Accept-Ranges | 是否接受字节范围请求 |
Age | 推算资源创建经过时间,单位为秒 |
ETag | 资源的匹配信息,资源更新该值也会更新 |
Location | 令客户端重定向至指定URI |
Proxy-Authenticate | 代理服务器对客户端的认证信息 |
Retry-After | 对再次发起请求的时机要求 |
Server | HTTP服务器的安装信息 |
Vary | 代理服务器缓存的管理信息 |
WWW-Authenticate | 服务器对客户端的认证信息 |
几乎所有浏览器在接收到包含首部字段Location
的响应后,都会强制性地尝试对已提示的重定向资源的访问。
实体首部字段
首部字段名 | 说明 |
---|---|
Allow | 资源可支持的HTTP方法 |
Content-Encoding | 实体主体适用的编码方式 |
Content-Language | 实体主体的自然语言 |
Content-Length | 实体主体的大小(字节) |
Content-Location | 替代对应资源的URI |
Content-MD5 | 实体主体的报文摘要 |
Content-Range | 实体主体的位置范围 |
Content-Type | 实体主体的媒体类型 |
Expires | 实体主体过期的日期时间 |
Last-Modified | 资源的最后修改日期时间 |
为Cookie
服务的首部字段
首部字段名 | 说明 | 首部类型 |
---|---|---|
Set-Cookie | 开始状态管理所使用的Cookie信息 | 响应首部字段 |
Cookie | 服务器接收到的Cookie信息 | 请求首部字段 |
Set-Cookie
字段的属性
属性 | 说明 |
---|---|
NAME=VALUE | 赋予Cookie的名称和其值(必需项) |
expires=DATE | Cookie的有效期(若不明确指定则默认为浏览器关闭前为止) |
path=Path | 将服务器上的文件目录作为Cookie的适用对象(若不指定则默认为文档所在的文件目录) |
domain=域名 | 作为Cookie适用对象的域名(若不指定则默认为创建Cookie的服务器的域名) |
Secure | 仅在HTTPS安全通信时才会发送Cookie |
HttpOnly | 加以限制,使Cookie不能被JavaSript脚本访问 |
expires
:一旦Cookie
从服务器端发送至客户端,服务器端就不存在可以显示删除Cookie
的方法。但可通过覆盖已过期的Cookie
,实现对客户端Cookie
的实质性删除操作。
path
:用来指定cookie
被发送到服务器的哪一个目录路径下(即被服务器哪个路径接收cookie
),其中”/”指的是站点根目录,可在同一台服务器(即使有多个应用)内共享该cookie
。
HttpOnly
:使得JavaScript脚本无法获得Cokkie
。其主要目的是防止跨站脚本攻击(Cross-site scripting,XSS)对Cokkie
的信息获取。