HTTP报文首部

HTTP报文首部

HTTP协议的请求和响应报文中必定包含 HTTP 首部。 首部内容为客户端和服务器分别处理请求和响应锁需要的信息。

有4中类型的首部字段： 通用首部字段、请求首部字段、响应首部字段和实体首部字段

通用首部字段

请求报文和响应报文两方都会使用的

Col1	Col2
Cache-Control	控制缓存的行为
Connection	控制不再转发给代理的首部字段、管理持久连接
Date	创建报文的日期时间
Pragma	报文指令
Trailer	报文末端的首部一览
Transfer-Encoding	指定报文主体的传输编码方式
Upgrade	升级为其他协议
Via	代理服务器的相关信息
Warning	错误通知

请求首部字段

从客户端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、响应内容相关优先级信息

Col1	Col2
Accept	用户代理可处理的媒体类型
Accept-Charset	优先的字符集
Accept-Encoding	优先的内容编码
Accept-Language	优先的语言（自然语言）
Authorization	Web 认证信息
Expect	期待服务器的特定行为
From	用户的电子邮箱地址
Host	请求资源所在服务器
If-Match	比较实体标记（ETag）
If-Modified-Since	比较资源的更新时间
If-None-Match	比较实体标记（与 If-Match 相反）
If-Range	资源未更新时发送实体 Byte 的范围请求
If-Unmodified-Since	比较资源的更新时间（与 If-Modified-Since 相反）
Max-Forwards	最大传输逐跳数
Proxy-Authorization	代理服务器要求客户端的认证信息
Range	实体的字节范围请求
Referer	对请求中 URI 的原始获取方
TE	传输编码的优先级
User-Agent	HTTP 客户端程序的信息

响应首部字段

从服务器端向客户端返回响应报文时使用的首部。补充了响应的附加内容，也会要求客户端附加额外的内容信息

Col1	Col2
Accept-Ranges	是否接受字节范围请求
Age	推算资源创建经过时间
ETag	资源的匹配信息
Location	报文指令
Proxy-Authenticate	代理服务器对客户端的认证信息
Retry-After	对再次发起请求的时机要求
Server	HTTP 服务器的安装信息
Vary	代理服务器缓存的管理信息
WWW-Authenticate	服务器对客户端的认证信息

实体首部字段

针对请求报文和响应白问的实体部分使用的首部。补充了资源内容更新时间等于实体有关的信息

6459487ebb090d8293f58305087e030e

Col1	Col2
Allow	资源可支持的 HTTP 方法
Content-Encoding	实体主体适用的编码方式
Content-Language	实体主体的自然语言
Content-Length	实体主体的大小
Content-Location	替代对应资源的 URI
Content-MD5	实体主体的报文摘要
Content-Range	实体主体的位置范围
Content-Type	实体主体的媒体类型
Expires	实体主体过期的日期时间
Last-Modified	资源的最后修改日期时间

End-to-end 首部和 Hop-by-hop 首部

HTTP 首部字段将定义成缓存代理和非缓存代理的行为，分成2种类型。

端到端首部（End-to-end Header）

分在此类别中的首部会转发给请求 / 响应对应的最终接收目标，且必须保存在由缓存生成的响应中，另外规定它必须被转发。

逐跳首部（Hop-by-hop Header）

分在此类别中的首部支队单词转发有效，会因通过缓存或代理而不再转发。HTTP/1.1 和之后版本中，如果要使用hop-by-hob 首部，需要提供 Connection 首部字段

下面列举 HTTP/1.1中的逐跳首部字段、

• Connection
• Keep-Alive
• Proxy-Authenticate
• Proxy-Authorization
• Trailer
• TE
• Transfer-Encoding
• Upgrade

通用首部字段

Cache-Control

通过指定 Cache-Control 的指令，就能操作缓存的工作机制

指令的参数是可选的，多个指令之间通过 “，” 号分隔。首部字段 Cache-Control 的指令可用于请求及响应

Cache-Control: private,max-age=0, no-cache

指令一览

缓存请求指令

指令	参数	说明
no-cache	无	强制向源服务器再次验证
no-store	无	不缓存请求或响应的任何内容
max-age = [秒]	必需	响应最大的Age值
max-stal(e = [秒])	可省略	接收已过期的响应
max-fresh = [秒]	必需	期望在置顶时间内的响应仍有效
no-transform	无	代理不可更改媒体类型
only-if-cached	无	从缓存获取资源
cache-extension	-	新指令标记（token）

缓存响应指令

指令	参数	说明
public	无	可向任意方提供响应的缓存
private	可省略	仅向特定用户返回响应
no-cache	可省略	缓存前必须先确定其有效性
no-store	无	不缓存响应的任何内容
no-transform	无	代理不可更改媒体类型
must-revalidate	无	可缓存但必须再向源服务器进行确认
proxy-revalidate	无	要求中间缓存服务器对缓存的响应有效性再进行确认
max-age = [秒]	必需	响应最大的Age值
s-maxage = [秒]	必需	公共缓存服务器响应的最大Age
cache-extension	-	新指令标记（token）

Connection

• 控制不在转发给代理的首部字段
• 管理持久连接

Connection ： 不再转发的首部字段名

在客户端发送请求和服务器返回响应内，使用 Connection 首部字段，可控制不再转发给代理的首部字段（即 Hop-by-hop 首部）

Connection ： close

HTTP/1.1 默认都是持久化连接。客户端会在持久连接上联系发送请求。当服务器端想明确断开连接时，则指定 Connection 首部字段为 Close

Connection ： Keep-Alive

HTTP/1.1 默认都是持久化连接。客户端会在持久连接上联系发送请求

Date

首部字段 Date 表明创建 HTTP 报文的日期和时间

Date: Tue，03 Jul 2012 04:40:59 GMT

Pragma

Pragma 是 HTTP/1.1 之前版本历史遗留字段，仅作为与 HTTP/1.0 的向后兼容而定义

Pragma：no-cache

Trailer

首部字段 Trailer 会事先说明在报文主题后记录了哪些首部字段。该首部字段可应用在 HTTP/1.1 版本分块传输编码时。

HTTP/1.1 200 OK 
Content-Type: text/plain 
Transfer-Encoding: chunked
Trailer: Expires
Mozilla
Developer
Network\
Expires: Wed, 21 Oct 2015 07:28:00 GMT

置顶首部字段 Trailer 的值为 Expires ，在报文主体之后（分块长度0之后）出现了首部字段 Expires

Transfer-Encoding

首部字段 Transfer-Encoding规定了传输报文主体时采用的编码方式

HTTP/1.1 的传输编码方式仅对分块传输编码有效

Upgrade

首部字段 Upgrade 用于检测 HTTP 协议及其他协议是否可使用更高的版本进行通信，其参数值可以用来指定一个完全不同的通信协议

HTTP1.1 Upgrade 请求头为 http1.1 支持的连接升级协商协议，主要流程为

客户端如果需要协商升级时，则需要设置请求头

Upgrade: websocket
Connection: Upgrade

对于附有首部字段 Upgrade 的请求，服务器可用101 Switching Protocols 状态码作为响应返回。

Via

使用首部字段 Via 是为了追踪客户端与服务器之间的请求和响应报文传输路径。

报文经过代理或者网关时，会现在首部字段 Via 中附加该服务器的信息，然后再进行转发。这个做法和 traceroute 及电子邮件的 Received 首部工作机制很类似

首部字段 Via 不仅用于追踪报文的转发，还可避免请求回环的发生。所以必须在经过代理时附加该首部字段内容

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1JCTiHT3-1667832033092)(https://note.youdao.com/yws/res/19991/WEBRESOURCEc18a6f26bd97cc77a18cb84587bad541)]

上图用例中，在经过代理服务器 A 时，Via 首部附加了 “1.0 gw.example.com(Squid/3.1)”这样的字符串值。行头的1.0是指接受请求的服务器上应用的HTTP版本协议。接下来经过，若果存在更多的代理服务器亦是如此，在 Via 首部附加服务器信息，也可增加 1 个新的 Via 首部写入服务器信息。

Via 首部是为了追踪传输路径，所以经常会和 TRACE 方法一起使用。比如，代理服务器接受到由 TRACE 方法发送过来的请求（其中 Max-Forwards: 0）时，代理服务器就不能再转发该请求了。这种情况下，代理服务器会将自身的信息附加到 Via 首部后，返回该请求的响应。

Warning

HTTP/1.1 的 warning 首部是从 HTTP/1.0 的响应首部（Retry-After）演变过来。该首部通常会告知用户一些与缓存相关的的问题的警告。

Warning: 113 gw.example.com:8080 "Heuriostic expiration" Tue, 03 Jul 2012 05:09:44 GMT

Warning 首部的格式如下。最后的日期时间部分可省略。

Warning: [警告码] [警告的主机 : 端口号] "[警告内容]" ([日期时间])

HTTP/1.1 中定义了7种警告。警告码对应的警告内容仅推荐参考。另外，警告码具有扩展性，今后有可能追加新的警告码。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FUnz3gyU-1667832033092)(https://note.youdao.com/yws/res/20002/WEBRESOURCE68ffe707da5089dafefc412178557024)]

请求首部字段

请求首部字段是从客户端往服务器发送强求报文中所使用的字段，用于补充请求的附加信息、客户端信息、对响应内容相关的优先级等内容

Accept

Accept 首部字段可通知服务器用户代理能够处理的媒体类型以及媒体类型的相对优先级。可使用 type/subtype 这种形式，一次指定多种媒体类型。

Accept: text/html , application/xhtml+xml , application/xml ; q=0.9 , */* ; q=0.8

文本文件

• text/html
• text/plain
• text/css
• appllication/xhtml+xml
• application/xml

图片文件类型

• image/jpeg
• image/gif
• image/png

视频文件

• video/mpeg
• video/quicktime

应用程序使用的二进制文件

• application/octet-strea
• application/zip

如果浏览器不支持PNG图片的显示，那么Accept 就不指定 image/png ,而指定可处理的 image/gif 和 image/jpeg 等图片类型。

若想要给显示的媒体类型增加优先级，则使用 q= 来额外表示权重值，用分号（；）进行分隔。权重值 q 的范围是 0-1（可精确到小数点后3位），且1为最大值。不指定权重 q 值时，默认权重为 q=1.0

Accept-Charset

Accept-Charset 首部字段可通知服务器用户代理支持的字符集以及字符集相对的优先顺序。另外，可一次性指定多种字符集。与首部字段 Accept 相同的是可用权重 q 值来表示相对优先级

该首部字段应用于内容协商机制的服务器驱动协商。

Accept-Charset: utf-8, iso-8859-1;q=0.5

Accept-Encoding

Accept-Charset 首部字段可通知服务器用户代理支持的内容编码及内容编码的优先级顺序。可一次性指定多种内容编码

该首部字段应用于内容协商机制的服务器驱动协商。

• gzip

由文件压缩程序 gzip（GUN zip）生成的编码格式（RFC1952），采用 Lempel-Ziv 算法（LZ77）及32位循环冗余校验（Cyclic Redundancy Check，通称 CRC）

• compress

由 UNIX 文件压缩程序 compress 生成的编码格式，采用 Lempel-Ziv-Welch 算法（LZW）。

• deflate

组合使用 zlib 格式（RFC1950）及由 deflate 压缩算法（RFC1951）生成的编码格式。

• identity

不执行压缩或不会变化的默认编码格式。

采用权重 q 来进行表示相对优先级，与首部字段 Accept 相同，另外，也可以使用星号（*）作为通配符，指定任意的编码格式。

Accept-Language

Accept-Language 用来告知服务器用户代理能够处理的自然语言集（指中文或者英文等），以及自然语言集的相对优先级。可一次指定多种自然语言集

Accept-Language: zh-cn, zh; q=0.7, en-us,en; q=0.3

采用权重 q 来进行表示相对优先级，与首部字段 Accept 相同，在上述例子中，客户端在服务器有中文版资源的情况下，会请求其返回中文版对象的响应，没有中文版时，则请求返回英文版响应。

Authorization

首部字段 Authorization 用来告知服务器，用户代理的认证信息（证书值

Authorization: Basic dWVub3N1bjpwYXHzd29yZA==

Expect

Expect 是客户端用来告知服务器，期望出现的某种特定行为。因服务器无法理解客户端的期望作出回应而发生错误时，会返回状态码 417 Expectation Failed。

jacvExpect: 100-continue

客户端可以利用该首部字段，写明所期望的扩展。虽然 HTTP/1.1 规范只定义了 100-continue（状态码 100 Continue 之意）。

等待状态码 100 响应的客户端在发生请求时，需要指定 Expect: 100-continue 。

From

From 是用来告知服务器使用用户代理的用户的电子邮件地址。

From: info@example.com

通常，其使用目的就是为了显示搜索引擎等用户代理的负责人的电子邮件联系方式。使用代理时，应尽可能包含 From 首部字段（但可能会因代理不同，将电子邮件地址记录在 User-Agent 首部字段中）。

Host

首部字段Host 会告知服务器，请求的资源所处的互联网主机名和端口号。

Host 首部字段是HTTP/1.1规范内唯一一个必须被包含在请求内的首部字段

Host: www.example.com

首部字段 Host 和以单台服务器分配多个域名的虚拟主机的工作机制有很密切的关联，这是首部字段 Host 必须存在的意思

请求被发送至服务器时，请求中的主机名会用 IP 地址直接替换解决。但如果这时，相同的 IP 地址下部署运行着多个域名时，那么服务器就会无法理解究竟是哪个域名对应的请求。因此，就需要使用首部字段 Host 来明确指出请求的主机名。若服务器未设定主机名，那直接发送一个空值即可

If-Match

形如 If-xxx 这样的请求首部字段，都可以称为条件请求。服务器接收到附带条件的请求后，只有判断指定条件为真时，才会执行请求。

只有当 If-Match 的字段值跟 ETge 值匹配一致时，服务器才会处理这个请求

If-Match: "123456"

首部字段 If-Match ，属附带条件之一，它会告知服务器匹配资源所用的实体标记（ETge）值。这时的服务器无法使用弱 ETge 值

服务器会对比 If-Match 的字段值和资源的 ETge 值，仅当两者一致时，才会执行请求。反之，则返回状态 412 Precondition Failed 的响应。

还可以使用星号（*）指定 If-Match 的字段值。针对这种情况，服务器将会忽略 ETge 的值，只有资源存在就处理请求

If-Match

如果 If-Modified-Since 字段指定的日期时间后，资源发生了更新，服务器会接受请求

If-Modified-Since: Thu, 15 Apr 2018 00:00:00 GMT

首部字段 If-Modified-Since ，属附带条件之一，它会告知服务器若 If-Modified-Since 字段值早于资源的更新时间，则希望能处理该请求。而在指定 If-Modified-Since 字段值的日期时间之后，如果请求的资源都没有过更新，则返回状态码 304 Not Modified

If-Modified-Since 用于确认代理或客户端拥有本地资源的有效性。获取资源的更新日期时间，可通过确认首部字段 Last-Modified 来确定

If-None-Match

有在 If-None-Match 的字段值与 ETge 值不一致时，可处理该请求。与 If-Match 首部字段的作用相反

If-None-Match: *

首部字段 If-None-Match 属于附带条件之一。它和首部字段 If-Match 作用相反。用于指定 If-None-Match 字段值的实体标记（ETge）值与请求资源的 ETge 不一致时，它就会告知服务器处理该请求。

在 GET 和 HEAD 方法中使用首部字段 If-None-Match 可获取最新的资源。因此，这与使用首部字段 If-Modified-Since 时有些类似。

If-Range

首部字段 If-Range 属于附带条件之一。它告知服务器若指定 If-Range 字段值（与 ETge 值或者时间）和请求资源的 ETge 值或时间相一致时，则作为范围请求处理。反之，则返回全体资源。

If-Unmodified-Since

首部字段 If-Unmodified-Since 和首部字段 If-Modified-Since 的作用相反。它的作用就是告知服务器，指定的请求资源只有在字段值内定的日期时间之后，未发生更新的情况下，才能处理请求。如果在指定日期时间后发生了更新，则以状态码 412 Precondition Failed 作为响应返回。

If-Unmodified-Since: Thu, 03 Jul 2018 00:00:00 GMT

Max-Forwards

用来限制TRACE和OPTIONS请求所经过的代理跳数

Max-Forwards: 2

Max-Forwards 请求首部字段包含了一个整数，用来说明这条请求报文还可以被转发的次数

如果 Max-Forwards 的值为零（Max-Forwards:0）：那 么即使接收者不是原始服务器，它也必须将 TRACE 报文回送给客户端，而不应该 继续转发

如果收到的Max-Forwards值大于零：转发的报文中就更新Max-Forwards字段，将其值减一

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J59e2RNx-1667832033093)(https://note.youdao.com/yws/res/20125/WEBRESOURCE410401b9e5187bcaef710d866e57e18c)]

Proxy-Authorization

代理可以作为访问控制设备使用。HTTP定义了一种名为代理认证的机制，这种机制可以阻止对内容的请求，直到用户向代理提供了 有效的访问权限证书为止

Proxy-Authorization: Basic YWRtaW4lM0FhZG1pbg==

对受限内容的请求到达一台代理服务器时，代理服务器可以返回一个要求使用访 问证书的 407 Proxy Authorization Required 状态码，以及一个用于描述怎样提供 这些证书的 Proxy-Authenticate 首部字段

客户端收到 407 响应时，会尝试着从本地数据库中，或者通过提示用户来搜集所 需要的证书

只要获得了证书，客户端就会重新发送请求，在 Proxy-Authorization 首部 字段中提供所要求的证书

如果证书有效，代理就会将原始请求沿着传输链路向下传送（下图中的c）；否则， 就发送另一条407应答

Range

Range: bytes=5001-10000

对于只需获资源的范围请求，包含首部字段 Range 即可告知服务器资源的指定范围。上面的示例表示请求获取从第 5001 字节到第 10000 字节的资源。

接收到附带 Range 首部字段请求的服务器，会在处理请求之后返回状态码为 206 Partial Content 的响应。无法处理该范围请求时，则会返回状态码 200 OK 的响应及全部资源。

Referer

只要查看 Referer 就能知道请求的 URI 是从哪个 Web 页面发起的

Referer: http://www.example.com/index.html

客户端一般都会发送 Referer 首部字段给服务器。但当直接在游览器的地址输入 URI ，或处于安全考虑时，也可以不发送该首部字段。

因为原始资源的 URI 中的查询字符串可能包含 ID 或密码等保密信息，要是写进 Referer 转发给其他服务器，则有可能导致保密信息的泄露。

TE

TE: gzip, deflate; q=0.5

首部字段 TE 会告知服务器客户端能够处理响应的传输编码方式及相对优先级。它和首部字段 Accept-Encoding 的功能很像，但是用于传输编码。

首部字段 TE 除指定传输编码之外，还可以指定伴随 trailer 字段的分块传输编码的方式。应用后者时，只需把 trailer 赋值给该字段值。

TE: trailers

User-Agent

首部字段 User-Agent 会将创建请求的游览器和用户代理名称等信息传达给服务器。

由网络爬虫发起请求时，有可能会在字段内添加爬虫的电子邮件地址。此外，如果经过代理，那么中间也很可能被添加上代理服务器的名称。

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36

响应首部字段

响应首部字段是由服务器端向客户端返回响应报文中所使用的字段，用于补充响应的附加信息、服务器信息，以及对客户端的附加要求等信息

Accept-Ranges

首部字段 Accept-Ranges 是用来告知客户端服务器是否能处理范围请求，以指定获取服务器端某个部分的资源

可指定的值有两种，可处理范围请求时指定其为 bytes, 反之则指定为 none

Accept-Ranges: bytes

Accept-Ranges: none

Aae

首部字段 Age 能告知客户端，源服务器在多久钱创建了响应。字段值的单位为秒

若创建改响应的服务器是缓存服务器，Age 值是指缓存后的响应再次发起认证到认证完成的时间值。代理创建响应时必须加上首部字段 Age

Age: 600

Etge

首部字段 ETge 能告知客户端实体标识，它是一种可将资源以字符串形式做唯一性标识的方式。服务器会为每份资源分配对应的 ETge 值。

另外，当起源更新时，ETge 值也需要更新。生成 ETge 值时，并没有统一的算法规则，而仅仅是由服务器来分配

ETge: "fa082-57b5144e55180"

资源被缓存时，就会被分配唯一性标识。例如，当使用中文版的浏览器访问 http://www.google.com 时，就会返回中文版对于的资源，当时有英文版版时，返回的就是英文版资源，两者的 URI 是相同的，所以仅凭 URI 指定缓存的资源是相当困难的。若在下载过程中出现连续中断/再连接的情况，都会依照 ETge 值来指定资源。

强 ETge 和 弱 ETge

• 强 ETge

强 ETge 值，不论实体发生多少细微的变化都会改变其值。

ETge: "usagi-1234"

• 弱 ETge

弱 ETge 值只用于提示资源是否相同。只有资源发生了根本改变，产生差异时才会改变 ETge 值。这时，会在字段值最开始处附加

ETge: W/"usagi-1234"

Localtion

使用首部字段 Location 可以将响应接受方引导至某个与请求 URI 位置不同的资源。
基本上，该字段会配合 3xx : Redirection 的响应，提供重定向的 URI。
几乎所有的游览器在接受到包含首部字段 Location 的响应后，都会强制性地尝试对已提示的重定向资源的访问。

Location: http://www.example.com

Proxy-Authenticate

首部字段 Proxy-Authenticate 会把由代理服务器所要求的认证信息发送给客户端。
它与客户端和服务器之间的 HTTP 访问认证的行为相似，不同之处在于其认证行为是在客户端与代理之间进行的。而客户端与服务器之间进行认证时，首部字段 WWW-Authorization 有着相同的作用

Proxy-Authenticate: Basic realm="Usagidesign Auth"

Retry-After

首部字段 Retry-After 告知客户端应该在多久之后再次发送请求。主要配合状态码 503 Service Unavailable 响应，或 3xx Redirect 响应一起使用。
字段值可以指定为具体时间（Wed, 04 Jul 2012 06: 34: 23 GMT 等格式），也可以是创建响应后的秒数。

Retry-After : 120

Server

首部字段 Server 告知客户端当前服务器上安装的 HTTP 服务器应用程序的信息。不单单会标出服务器上的软件应用名称，还有可能包含版本号和安装时启用的可选项。

Server: Apache/2.26 (Unix) PHP/5.2.5

Vary

首部字段 Vary 可对缓存进行控制。源服务器会向代理服务器传达关于本地缓存使用方法的指令。
从代理服务器接受到源服务器返回包含 Vary 指定项的响应之后，若再要进行缓存，仅对请求中含有相同 Vary 指定首部字段的请求返回缓存。即使对相同资源发起请求，但由于 Vary 指定的首部字段不相同，因此必须要从源服务器重新获取资源。

Vary: Accept-Language

WWW-Authenticate

首部字段 WWW-Authenticate 用于 HTTP 访问认证。它会告知客户端适用于访问请求 URI 所指定资源的认证方案（ Basic 或是 Digest ）和带参数提示的质询（challenge）。状态码 401 Unauthorized 响应中，肯定带有首部字段 WWW-Authenticate 。
上述示例中，realm 字段的字符串是为了辨别请求 URI 指定资源所受到的保护策略

WWW-Authenticate: Basic realm="Usagidesign Auth"

实体首部字段

实体首部字段是包含在请求报文和响应报文中的实体部分所使用的的首部，用于补充内容的更新时间等与实体相关的信息

Allow

首部字段 Allow 用于通知客户端能够支持 Request-URI 指定资源的所有 HTTP 方法。 当服务器接收到不支持的 HTTP 方法时，会以状态码 405 Method Not Allowed 作为响应返回。与此同时，还会把所有能支持的 HTTP 方法写入首部字段 Allow 后返回。

Allow : GET,HEAD

Content-Encoding

首部字段 Content-Language 会告知客户端，实体主体使用的自然语言（指中文或英文等语言）。

Content-Language: zh-CN

Content-Length

首部字段 Content-Length 表明了实体主体部分的大小（单位是字节）。对实体主体进行内容编码传输时，不能再使用 Content-Length 首部字段

Content-Length: 15000

Content-Location

首部字段 Content-Location 给出与报文主题部分相对应的URI。和首部字段 Location 不同， Content-Location 表示的是报文主体返回资源对应的 URI。
比如，对于使用首部字段 Accept-Language 的服务器驱动型请求，当返回的页面内容与实际请求的对象不同时，首部字段 Content-Location 内会写明 URI。（访问 http://www.example.com/ 返回的对象却是 http://www.example.com/index.html 等类似情况）。

Content-Location: httpo://www.example.com/index.html

Content-MD5

首部字段 Content-MD5 是一串由MD5算法生成的值，其目的在于检查报文主体在传输过程中是否保持完整，以及确认传输到达。

对报文主体执行 MD5 算法获得218位二进制数，再通过 Base64 编码后将结果写入 Content-MD5 字段值。由于 HTTP 首部无法记录二进制值，所以要通过 Base64 编码处理。为确保报文有效性，作为接受方的客户端会对报文主体在执行一次相同的MD5算法。计算出的值与字段值作比较候鸟，即可判断出报文主体的准确性。

采用这种方法，对内容上的偶发生性改变是无从查证的，也无法检测出恶意篡改。其中一个原因在于，内容如果能够被篡改，那么同时意味着 Content-MD5 也可重新计算然后被篡改。所以处在接受阶段的客户端是无法意识到报文主体以及首部字段 Content-MD5 是已经被篡改过的。

Content-MD5: ZTEwYWRjMzk0OWJhNTlhYmJlNTZlMDU3ZjIwZjg4M2U=

Content-Range

针对范围请求，返回响应时使用的首部字段 Content-Range ，能告知客户端作为响应返回的实体哪个部分符合范围请求。字段值以字节为单位，表示当前发送部分及整个实体大小。

Content-Range: bytes 5001-10000/10000

Content-Type

首部字段 Content-Type 说明实体主体内对象的媒体类型。和首部字段 Accept 一样，字段值用 type/subtype 形式赋值。

Content-Type: text/html; charset=utf-8

Expires

首部字段 Expires 会将资源失效日期告知客户端。缓存服务器在接收到含有首部字段 Expires 的响应后，会以缓存来应答请求，在 Expires 字段值指定的时间之前，响应的副本会一直被保存。当超过指定的时间后，缓存服务器在请求发送过来时，会转向源服务器请求资源。
源服务器不希望缓存服务器对资源缓存时，最好在 Expires 字段内写入与首部字段 Date 相同的时间值。
但是，当首部字段 Cache-Control 有指定 max-age 指令时，比起首部字段 Expires ，会优先处理 max-age 指令。

Expires: Wed, 04 Jul 2012 08:26:05 GMT

Last-Modified

首部字段 Last-Modified 指明资源最终修改时间。一般来说，这个值就是 Request-URI 指定资源被修改的时间。但类似使用 CGI 脚本进行动态数据处理时，该值有可能会变成数据最终修改时的时间。

Last-Modified: wed, 25 May 2018 09:11:40 GMT

其他首部字段

Set-Cookie

当服务器准备开始管理客户端的状态时，会事先告知各种信息。

Set-Cookie: status-enable; expires=Tue, 05 Jul 2018 02:01:22 GMT; path=/; domain=.example.com;

属性	说明
NAME=VALUE	赋予 Cookie 的名称和其值（必须项）
expires=DATE	Cookie 的有效期（若不明确指定则默认为游览器关闭前为止）
path=PATH	将服务器上的文件目录作为 Cookie 的适用对象（若不指定则默认文档所在的文件目录）
domain=域名	作为 Cookie 适用对象的域名（若不指定则默认为创建 Cookie 的服务器域名）
Secure	仅在 HTTPS 安全通信时才会发送 Cookie
HttpOnly	加以限制，使 Cookie 不能被 JavaScript 脚本访问

Cookie

首部字段 Cookie 会告知服务器，当客户端想获得 HTTP 状态管理支持时，就会在请求中包含从服务器接受到的 Cookie 。接受到多个 Cookie 时，同样可以以多个 Cookie 形式发送。

Cookie: status=enable

X-Frame-Options

首部字段 X-Frame-Options 属于 HTTP 响应首部，用于控制网站内容在其他 web 网站的 Frame 标签内显示问题。其主要目的是为了防止点击劫持（clickjacking）攻击。
首部字段 X-Frame-Options 有以下两个可指定的字段值。

• DENY： 拒绝
• SAMEORIGIN： 仅同源域名下的页面（Top-level-browsing-context）匹配时许可。

X-Frame-Options: DENY

X-XSS-Protection

首部字段 X-XSS-Protection 属于 HTTP 响应首部，它是针对跨站脚本攻击（XSS）的一种对策，用于控制游览器 XSS 防护机制的开关。
首部字段 X-XSS-Protection 可指定的字段值如下：

• 0：将 XSS 过滤设置成无效状态
• 1：将 XSS 过滤设置成有效状态

X-XSS-Protection: 1

DNT

首部字段 DNT 属于HTTP 请求首部，其中 DNT 是 Do Not Track 的简称，意为拒绝个人信息被手机，是表示拒绝被精准广告追踪的一种方法。
首部字段 DNT 可指定的字段值如下。

• 0：同意被追踪
• 1：拒绝被追踪

由于首部字段 DNT 的功能具备有效性，所以 web 服务器需要对 DNT 做出对应的支持。

DNT: 1

P3P

首部字段 P3P 属于HTTP响应首部，通过利用P3P ( The Platform
for Privacy Preferences,在线隐私偏好平台)技术，可以让Web网站上
的个人隐私变成种仅供程序可理解的形式， 以达到保护用户隐私的
目的。

要进行 P3P的设定，需按以下步骤进行。

• 步骤一：创建 P3P 隐私
• 步骤二：创建 P3P 隐私对照文件后，保存命名在 /w3c/p3p.xml
• 步骤三：从 P3P 隐私中新建 Compact policies 后，输出到 HTTP 响应中

P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa OUR BUS IND UNI COM NAV INT"