HTTP 协议的请求和响应报文中必定包含 HTTP 首部。首部内容为客户端和服务器分别处理请求和响应提供所需要的信息。对于客户端用户来说,这些信息中的大部分内容都无须亲自查看。
HTTP请求报文由方法、URI、HTTP版本、HTTP首部字段构成。
HTTP响应报文由HTTP版本、状态码(数字和原因短语)、HTTP首部构成。
HTTP首部字段是构成HTTP报文的要素之一。当HTTP报文首部中出现两个或两个以上具有相同首部字段名时,会根据浏览器不同,结果可能不一致。
HTTP 首部字段是由首部字段名和字段值构成的,中间用冒号“:” 分隔。
HTTP 首部字段根据实际用途被分为以下4种类型。
-
通用首部字段(General Header Fields)
-
请求首部字段(Request Header Fields)
-
响应首部字段(Response Header Fields)
-
实体首部字段(Entity Header Fields)
HTTP首部字段将定义成缓存代理和非缓存代理的行为,分成2种类型。
端到端首部(End-to-end Header)分在此类别中的首部会转发给请求/响应对应的最终接收目标,必须保存在由缓存生成的响应中,必须被转发。
逐跳首部(Hop-by-hop Header)分在此类别中的首部只对单次转发有效,会因通过缓存或代理而不再转发。HTTP/1.1 和之后版本中,如果要使用 hop-by-hop 首部,需提供 Connection首部字段。
Connection
Keep-Alive
Proxy-Authenticate
Proxy-Authorization
Trailer
TE
Transfer-Encoding
Upgrade
以上除这 8个首部字段之外,其他所有字段都属于端到端首部。
HTTP/1.1 通用首部字段
通用首部字段是指,请求报文和响应报文双方都会使用的首部。
Cache-Control 控制缓存的行为
Connection 逐跳首部、连接的管理
Date 创建报文的日期时间
Pragma 报文指令
Trailer 报文末端的首部一览
Transfer-Encoding 指定报文主体的传输编码方式
Upgrade 升级为其他协议
Via 代理服务器的相关信息
Warning 错误通知
请求首部字段
请求首部字段是从客户端往服务器端发送请求报文中所使用的字段,用于补充请求的附加信息、客户端信息、对响应内容相关的优先级等内容。
Accept 用户代理可处理的媒体类型
Accept-Charset 优先的字符集
Accept-Encoding 优先的内容编码
Accept-Language 优先的语言(自然语言)
Authorization Web认证信息
Expect 期待服务器的特定行为
From 用户的电子邮箱地址
Host 请求资源所在服务器
If-Match 比较实体标记(ETag)
If-Modified-Since 比较资源的更新时间
If-None-Match 比较实体标记(与 If-Match 相反)
If-Range 资源未更新时发送实体 Byte 的范围请求
If-Unmodified-Since 比较资源的更新时间(与If-Modified-Since相反)
Max-Forwards 最大传输逐跳数
Proxy-Authorization 代理服务器要求客户端的认证信息
Range 实体的字节范围请求
Referer 对请求中 URI 的原始获取方
TE 传输编码的优先级
User-Agent HTTP 客户端程序的信息
响应首部字段
响应首部字段是由服务器端向客户端返回响应报文中所使用的字段,用于补充响应的附加信息、服务器信息,以及对客户端的附加要求等信息。
Accept-Ranges 是否接受字节范围请求
Age 推算资源创建经过时间
ETag 资源的匹配信息
Location 令客户端重定向至指定URI
Proxy-Authenticate 代理服务器对客户端的认证信息
Retry-After 对再次发起请求的时机要求
Server HTTP服务器的安装信息
Vary 代理服务器缓存的管理信息
WWW-Authenticate 服务器对客户端的认证信息
实体首部字段
实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首部,用于补充内容的更新时间等与实体相关的信息。
Allow 资源可支持的HTTP方法
Content-Encoding 实体主体适用的编码方式
Content-Language 实体主体的自然语言
Content-Length 实体主体的大小(单位:字节)
Content-Location 替代对应资源的URI
Content-MD5 实体主体的报文摘要
Content-Range 实体主体的位置范围
Content-Type 实体主体的媒体类型
Expires 实体主体过期的日期时间
Last-Modified 资源的最后修改日期时间
为Cookie服务的首部字段
Cookie 的规格标准文档有4种。
Set-Cookie 开始状态管理所使用的Cookie信息 响应首部字段
Set-Cookie: status=enable; expires=Tue, 05 Jul 2011 07:26:31 GMT; pat
Set-Cookie 字段的属性
-
NAME=VALUE 赋予 Cookie 的名称和其值(必需项)
-
expires=DATE Cookie 的有效期(若不明确指定则默认为浏览器关闭前为止)
-
path=PATH 将服务器上的文件目录作为Cookie的适用对象(若不指定则默认为文档所在的文件目录)
-
domain=域名 作为 Cookie 适用对象的域名 (若不指定则默认为创建 Cookie的服务器的域名)
-
Secure 仅在 HTTPS 安全通信时才会发送 Cookie
-
HttpOnly 加以限制,使 Cookie 不能被 JavaScript 脚本访问
Cookie 服务器接收到的Cookie信息 请求首部字段
-
Cookie: status=enable
其他首部字段
X-Frame-Options响应首部 防止点击劫持 DENY:拒绝 SAMEORIGIN:仅同源域名下的页面匹配时许可。
X-XSS-Protection响应首部 针对XSS 控制开关 0:将 XSS 过滤设置成无效状态 1:将 XSS 过滤设置成有效状态
DNT请求首部 拒绝个人信息被收集0 :同意被追踪 1 :拒绝被追踪
P3P响应首部 通过利用 P3P(The Platform forPrivacy Preferences,在线隐私偏好平台)技术,可以让 Web 网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。
要进行 P3P 的设定,需按以下操作步骤进行。
步骤 1:创建 P3P 隐私
步骤 2:创建 P3P 隐私对照文件后,保存命名在 /w3c/p3p.xml
步骤 3:从 P3P 隐私中新建 Compact policies 后,输出到 HTTP 响应中