自定义HTTP HEADER的陷阱

最新推荐文章于 2023-12-04 13:45:20 发布
最新推荐文章于 2023-12-04 13:45:20 发布
阅读量4.1k 收藏 1
点赞数 1
分类专栏: 前端

如果自定义头信息的关键字里带有 “_” ,比如 File_Last_modified: ,这样的在服务器通过 request,getHeader('File_Last_modified') 是获取不到的,只能这样命名才行:File-Last-Modified

 

 

问题本身很好解决。然而我们想要知道,服务器为何要对字段名中使用了下划线的头视而不见呢?并且,不管是 Apache 还是 Nginx,对于这样的情况,都不约而同地采取了一样的策略。

在 RFC 2616 4.2 节中,有如下一段话:
Request (section 5) and Response (section 6) messages use the generic message format of RFC 822 [9] for transferring entities (the payload of the message).
这段话的意思,就是说 HTTP/1.1 的请求和响应消息使用 RFC 822 中的通用消息格式来传输实体(消息载荷)。

在 RFC 822 3.1.2 节中,对于消息格式的说明,有这样一句话:
The field-name must be composed of printable ASCII characters (i.e., characters that have values between 33. and 126., decimal, except colon).
也就是说,HEADER 字段名可以可由可打印的 ASCII 字符组成(也就是十进制值在 33 和 126 之间的字符,不含冒号)。
不含冒号很容易理解,因为 Field-Name 和 Value 之间需要用冒号分割。然而,我们通过查询 ASCII 码表可知,下划线的十进制 ASCII 值为 95,也在此范围之内!

其实,在 HEADER 字段名中使用下划线其实是合法的、符合 HTTP 标准的。服务器之所以要默认禁止使用是因为 CGI 历史遗留问题。下划线和中划线都为会被映射为 CGI 系统变量中名中的下划线,这样容易引起混淆。

在 nginx 服务器中,通过显式地设置 underscores_in_headers on 可以开启在字段名中使用下划线。默认该选项是关闭的,所以在默认情况下,所有包含下划线的字段名都会被丢弃。

在我们的开发机中的确也开启了这个选项,为啥还是不能拿到字段名中包含下划线的 HEADER 呢?这是因为我们访问这台开发机的时候,前面还有一层代理服务器,而这台代理服务器没有开启相关选项,导致这种 HEADER 被代理服务器直接丢弃。因此也强烈建议不要在 HEADER 的 Field-Name 中使用下划线。



作者:幸SrA福
链接:https://www.jianshu.com/p/2320f1ece1a2
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

 

 

 

 

风雅车手
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Django接收自定义http header过程详解
09-18
主要介绍了Django接收自定义http header过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
go语言在请求http时加入自定义http header的方法
01-20
本文实例讲述了go语言在请求http时加入自定义http header的方法。分享给大家供大家参考。具体实现方法如下: 代码如下: client := &http.Client{] req, err := http.NewRequest(“POST”, “http://example.com”, bytes.NewReader(postData)) req.Header.Add(“User-Agent”, “myClient”) resp, err := client.Do(req) defer resp.Body.Close() 希望本文所述对大家的Go语言程序设计有所帮助。
chrome 自定义header插件
10-12
chrome浏览器扩展程序,直接拖拽可用的自定义header插件。可自定义Request headers,便于web调试。
java EE 设置响应头内容、长度;响应行状态码、错误提示信息【setHeader和addHeader的区别---->步骤2】
qq_43619461的博客
03-13 579
0、响应行、响应头、请求头所对应的部分 1.1 设置(响应行)状态码 // 设置响应行状态码为 402 response.setStatus(402); 1.2 设置错误提示信息 // 设置404错误返回信息为 找不到states路径 response.sendError(404,"找不到states路径"); 2、设置响应头 2.1 setHeader() 只添加一个响应数据 response.setHeader("sex":"0"); response.setHeader("sex":"0
鲜为人知的HTTP协议头字段详解大全「原创」
weixin_34212762的博客
03-24 361
继上篇讲了HTTP协议的基础之后,本篇重点介绍一下HTTP常用的HeaderHTTP Header非常之多,很少有人能完全分清这些Header到底是干什么的。鉴于RFC文件规范艰深晦涩难懂,本文对协议规范中列出的HTTP Header进行了梳理,用通俗的语言进行表达,便于读者吃透HTTP协议。 作者在阅读RFC文档的时候发现了很多以前没注意到的知识,估计做web开发的小伙伴们也大多忽视了这些知...
java httpClient status 400错误的Header中字符不合法
m0_47464881的博客
11-26 818
java httpClient status 400错误的Header中字符不合法
掌控安全 -- header注入
最新发布
qq_51802152的博客
12-04 2206
HEADER注入
自定义HTTP标头:命名约定
asdfgh0077的博客
12-25 2979
我们的一些用户要求我们在我们发送请求的HTTP标头中包含与其帐户相关的数据,甚至是我们从API获得的响应。 在命名 , 格式化等方面添加自定义HTTP标头的一般惯例是什么? 另外,您可以随
HTTP协议header标头详解
热门推荐
u012572955的专栏
12-02 3万+
本文根据RFC2616(HTTP/1.1规范),参考 http://www.w3.org/Protocols/rfc2068/rfc2068 http://www.w3.org/Protocols/rfc2616/rfc2616 http://www.ietf.org/rfc/rfc3229.txt 通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机的
httpPost.setHeaderhttpPost.addHeader 区别
还在活水泥的未来包工头
03-29 4162
上述代码中,两次调用httpPost.addHeader()方法都会将请求头Content-Type添加到请求中,最终请求头中的Content-Type为application/json, text/plain。可以看出,httpPost.addHeader()方法可以添加多个相同的请求头,而httpPost.setHeader()方法只能设置一个请求头。httpPost.setHeader()方法用于设置单个请求头,如果多次使用该方法设置同一个请求头,则只会保留最后一次设置的值。
host头部注入漏洞--中危
qq_44504968的博客
03-23 2678
host头部注入漏洞--中危漏洞原理漏洞知识扩展漏洞验证情况一情况二修复方案 漏洞原理 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。 漏洞知识扩展 Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。 运用虚拟主机技术,单个主机可
Day 1 Header & Referrer Policy & 常见的错误代码和错因
Sarah_Chen1996的博客
06-09 636
常用header汇总: header(‘Content-Type: text/html; charset=utf-8’); //网页编码(设置页面内容是 html, 编码格式是 utf-8) header(‘Content-Type: text/plain’); //纯文本格式 header(‘Content-Type: image/jpeg’); //JPG、JPEG head...
一个非常有技巧的错误码定义头文件,可以拿去直接用
chuanbaimei4805的博客
04-03 239
#ifndef__ERR_DEFS_H__ #define__ERR_DEFS_H__ /* *err_code.h * *ThisisaPUBLICheaderfile.Itdefineserrorcodesreturnedby *apis. */...
ajax request headers,Access-Control-Allow-Headers不允许使用Ajax Request头字段
weixin_31090341的博客
08-05 685
尝试构建DNN服务框架WebAPI但我在使用CORS时遇到了麻烦.我有所有合适的标题(我认为),但它似乎仍然无法正常工作.错误:XMLHttpRequest cannot load http://www.dnndev.me/mysite/builder/API/echo?message=Hello+World&_=1412707749275. Request header field Ke...
Spring Boot 允许跨域请求、自定义请求头
不羁鱼|Karle
12-22 1万+
Spring boot允许跨域设置
自定义http
Criss@陈磊
05-21 2967
HTTP自定义自定义HTTP标头通常用于提供可能与Web开发人员相关的其他信息,或用于故障排除目的。这些标题通常首先开始X-,但是,我们将进一步讨论命名约定。这篇文章应该有助于您更好地全面了解自定义HTTP标头实际是什么,它们有用的原因以及如何定义它们。 自定义标头非常适合故障排除,信息用途,甚至在服务器端实现特定逻辑。例如,我非常喜欢利用'msg'字段来配合400~599错误编号来提供额外的错误消息。如果资产是从缓存传递的,则自定义标头返回HIT,如果是从源服务器传送,则返回MISS。使用自.
自定义header字段跨域报错问题
小虾的博客
04-26 4510
项目后台用header的token字段接收token数据 String token = request.getHeader("token"); 前端ajax请求报错:from origin 'http://192.168.1.100:8020' has been blocked by CORS policy: Response to preflight request doesn't pass a...
java dbf 写入_《Java知识应用》Java读写DBF文件
weixin_42306501的博客
02-13 153
importcom.linuxense.javadbf.DBFDataType;importcom.linuxense.javadbf.DBFField;importcom.linuxense.javadbf.DBFReader;importcom.linuxense.javadbf.DBFWriter;importjava.io.File;importjava.io.FileInputStrea...
HTTP请求头Except字段意义及作用
weixin_43959858的博客
07-10 1659
昨天晚上在对接接口时,发现偶尔会拿不到响应信息,造成请求超时。再三检查后发现不是代码问题。于是打印了请求参数。发现大部分拿不到响应信息的数据都很长。于是想到了这个问题。在请求头上加了’Expect:'后果然解决了这个问题。 $headers = [ 'Authorization:' . $this->token, 'Expect:' ]; 于是研究了一下Except:的用法,在curl POST请求的时候,curl不会直接发送POST请求,而是分为了两个步骤,
el-table 自定义表头header
04-25
怎么实现? 您可以在 el-table 的 header 标签里面添加一个 slot="header" 的插槽来自定义表头。例如: <el-table :data="tableData"> <el-table-column prop="name" label="姓名"> <template slot="header"> <span>自定义表头</span> </template> </el-table-column> </el-table> 这样就可以在 "姓名" 列的表头上添加一个自定义的文本 "自定义表头"。您可以在插槽里面添加任何自定义的 HTML 内容,例如按钮、输入框等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值