网络我爱编程

HTTP笔记6HTTP首部

2016-06-30  本文已影响99人  RobotStar

HTTP首部

HTTP报文首部结构

复习一下前边的知识:
HTTP报文大致可分为报文首部和报文主体两块,通常并不一定要有报文主体

请求报文及响应报文的结构


请求报文结构如下:


响应报文结构如下:


HTTP首部字段

HTTP首部字段是构成HTTP报文的要素之一,它给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容

HTTP首部字段结构

HTTP首部字段由首部字段名和字段值构成,中间用冒号“:”分隔
首部字段名:字段值, 例如:Content-Type:text/html

同一个字段名可以有多个字段值,如:
Keep-Alive:timeout=15, max=100

HTTP首部字段类型

HTTP首部字段根据实际用途被分为以下4种类型

HTTP/1.1 首部字段一览

HTTP/1.1规范定义了如下47种首部字段






除了这47种,还有Cookie、Set-Cookie和Content-Disposition等其他RFC种定义的首部字段用的比较多

End-to-End首部和Hop-by-hop首部

HTTP首部字段将定义成缓存代理和非缓存代理的行为分成2种:
端到端首部 和 逐跳首部


HTTP/1.1 通用首部字段

Cache-Control

Cache-Control能够控制缓存的行为,Cache-Control指令一览

缓存请求指令:

缓存响应指令:

Connection

Connection首部字段具备如下两个作用:

HTTP/1.1之前版本的默认连接都是非持久连接,如果要在旧版本的HTTP协议上维持持续连接,则需要指定Connection:Keep-Alive
Connection:close表示断开连接

Date

首部字段Date表明创建报文的日期和时间

Transfer-Encoding

首部字段Transfer-Encoding规定了传输报文主体时采用的编码方式
HTTP/1.1的传输编码方式仅对分块传输编码有效

Via

Via记录了客户端和服务器之间的请求和响应报文的传输路径

Upgrade

Upgrade用于检测HTTP协议及其他协议是否可使用更高的版本进行通信,其参数值可以用来指定一个完全不同的通信协议

Trailer

Trailer说明了在报文主体后记录了哪些首部字段

Warning

该首部通常会告知用户一些与缓存相关的问题警告


请求首部字段

Host

Host表示资源所处的互联网主机名和端口号,该字段是HTTP/1.1规范内唯一一个必须被包含在请求内的首部字段

Accept

Accetp首部字段可通知服务器,客户端能够处理的媒体类型及媒体类型的优先级,可使用type/subtype这种形式,一次可以指定多种媒体类型

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8

举几个常见媒体类型的例子:

q=0.9表示权重,默认值为1.0,且1为最大值。当服务器提供多种内容时,将会首先返回权重高的媒体类型

Accept-Charset

Accept-Charset首部字段可用来通知服务器客户端支持的字符集及优先顺序,用q值来表示相对优先级

Accept-Charset:iso-8859-5, utf-8;q=0.8

Accept-Encoding

Accept-Encoding用来告知服务器客户端支持的内容编码及优先级顺序,可一次性指定多种内容编码,常见的集中编码格式:

采用q值来表示优先级,可使用星号*指定任意格式的编码格式

Accept-Language

Accept-Language告知服务器客户端能够处理的自然语言集,可用q值表示优先级

Accept-Language:zh-cn,zh;q=0.7,en-us,en;q=0.3

User-Agent

User-Agent会将客户端的浏览器和其他信息发送给服务器

Authorization

Authorization用来告知服务器客户端的认证信息(证书值)


Proxy-Authorization

此认证发生在客户端和代理之间

From

客户端的邮件地址

If-Match

形如If-xxx这种形式的请求首部字段,都可成为条件请求。服务器接收到附带条件的请求后,只有判断指定条件为真时,才会执行请求

If-Match的字段值会和服务器端实体标记ETag匹配,一致时服务器才会接受请求,反之则返回状态码412 Precondition Failed

If-Modified-Since

if-none-match

与if-match的作用相反,只有在if-none-match字段值与ETag值不一致时才处理该请求
在Get或Head方法中使用if-none-match可获取最新的资源

If-Range

If-Unmodified-Since

与If-Modified-Since的作用相反

Max-Forwards

Max-Forwards:5
每次转发数值减1,当数值变成0时返回响应。可以避免由于位置原因而导致的请求陷入循环

Range

Range:bytes=5001-10000
对于只需获取部分资源的范围请求,包含首部字段Range即可告知服务器资源的指定范围
接收到Range首部字段请求的服务器,会在请求之后返回状态码206 Partial Content的响应,无法处理该范围请求时,则会返回200 ok的响应及全部资源

Referer

Referer会告知服务器请求的原始资源的URI,其中可能含有ID和密码等保密信息,写进Referer有可能导致泄密

TE

TE:gzip, deflate;q=0,5

TE会告知服务器客户端能够处理响应的传输编码方式及优先级,而Accept-encoding怎表示内容的编码的方式

还可指定伴随Trailer字段的分块传输编码的方式


响应首部字段

Accept-Ranges

Accept-Ranges是用来告知客户端服务器是否能处理范围请求,以指定获取服务器端某个部分的资源
可指定的字段有两种,可处理范围请求时为bytes,反之为none

Accept-Ranges:bytes

Age

Age:60

Age告知客户端,源服务器在多久前创建了响应,单位是秒

ETag

ETag:"82ec22325w"

ETag是资源的唯一标识,以字符串方式表示,服务器会为每份资源分配对应的ETag值。当资源更新时,ETag值也需要更新

强ETag和弱ETag

Location

Location可以将响应接收方引导至某个新的URI,基本上,该字段会配合3XX的响应,提供重定向的URI

3xx
Location:http//www.google.cn/hk

Server

Server表示了服务器上安装的HTTP服务器应用程序的信息

Server: Apache/2.2.6(Unix) PHP/5.2.5

Retry-after

Retry-after: 120(或是日期时间)

告知客户端应该在多久之后再次发送请求,配合503 或 3xx一起使用

WWW-Atuthenticate

WWW-Atuthenticate: Basic realm="usagidesign Auth"

WWW-Atuthenticate用于HTTP访问认证,它会告知客户端适用于访问请求URI的认证方案

Proxy-Atuthenticate

和WWW-Atuthenticate一样,不过是发生在客户端和代理之间

Vary

Vary: Accept-Language

Vary可以控制代理的缓存,只返回Accept-Language值相同的缓存


实体首部字段

Allow

405 Method Not Allowed
Allow: GET, POST

该字段用于通知客户端能够支持的Request的HTTP方法,当服务器接收到不支持的HTTP方法时,返回405 Method Not Allowed作为响应,同时将支持的方法写入Allow返回

Content-Location

与Location不同,Content-Location表示的是报文主体返回资源对应的URI

Content-Encoding

Content-Encoding: gzip

Content-Encoding表示实体主体的编码方式

Content-Language

Content-Language表示主体使用的自然语言

Content-Length

Content-Length表明了实体主体的大小,单位是字节。如果主体进行了编码传输,则不再使用此字段

Content-MD5

Content-MD5是一串由MD5算法生成的值,其目的在于检查报文主体在传输过程中是否保持完整,以确认传输到达
对报文主体执行MD5算法获得128位二进制数,再通过Base64编码后将结果写入Content-MD5字段,由于HTTP首部无法记录二进制值,所以要通过Base64编码。接收方收到后对报文主体再执行一次相同的MD5算法,通过比较值来判断主体的准确性

有被篡改的可能

Content-type

Content-type: text/html; charset=UTF-8

和Accept一样,Content-type表示了实体主体对象的媒体类型

Content-Range


针对范围请求,返回响应时使用Content-Range可以告知客户端返回的哪个范围,单位是字节

Expires

Expires: Wed, 04 Jul 2012 08:26:05 GMT

Expires表示了资源的有效期,如果在有效期内,缓存服务器会以缓存来应答请求,如果过了有效期则从源服务器请求资源。
如果不希望缓存服务器对资源缓存时,则将Expires值和Date值设置为相等

当首部字段Cache-Control有指定max-age时,会优先处理max-age

Last-Modified

Last-Modified: Thurs, 30 Jun 2016 18:00:00 GMT

Last-Modified表示资源最终修改的时间


为Cookie服务的首部字段

Set-Cookie

Set-Cookie: status=enable; expires=Thurs, 30 Jun 2016 18:00:00 GMT; path=/; domain=.hackr.jp;

下面是一个Set-Cookie的例子:

Set-Cookie: laravel_session=eyJpdiI6IjJnN1Rwd;
expires=Thu, 30-Jun-2016 12:37:37 GMT;
Max-Age=7200;
path=/;
HttpOnly

Cookie

Cookie: laravel_session=eyJpdiI6IjJnN1Rwd

客户端接收到的服务器端发送的Cookie


其他首部字段

X-Frame-Options

该字段属于响应首部,用于控制网站内容在其他web网站的Frame标签内的显示问题,主要目的是为了防止点击劫持攻击
有两个字段值:

X-XSS-Protextion

X-XSS-Protextion: 1

该字段属于响应首部,踏实针对跨站脚本攻击(XSS)的一种对策,用0和1来控制浏览器XSS防护机制的开关

P3P

该字段属于响应首部,通过利用P3P技术,可以让web网站上的个人隐私编程一种仅供程序可理解的形式,以达到保护用户隐私的目的

DNT

DNT: 1

该字段属于请求首部,DNT是Do not track的简称,意为拒绝个人信息被收集,用0和1来控制,可以拒绝被精准广告追踪


补充说明:

Accept和content-type的区别,accept表示发送方(客户端)希望接收的资源类型,而content-type表示发送方发送的资源类型

上一篇下一篇

猜你喜欢

热点阅读