《图解HTTP》之HTTP首部

1. HTTP报文首部

HTTP协议的请求和响应报文中必定包含HTTP首部。首部内容为客户端和服务器分别处理请求和响应提供所需要的信息。对于客户端用户来说，这些信息中的大部分内容都无须亲自查看。

• HTTP请求报文
  在请求中，HTTP报文由方法、URI、HTTP版本、HTTP首部字段等部分构成。
• HTTP响应报文
  在响应中，HTTP报文由HTTP版本、状态码、HTTP首部字段3部分构成。

2. HTTP首部字段

使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。
首部字段由首部字段名和字段值构成，中间用冒号“:”分隔。
首部字段名 : 字段值

4种HTTP首部字段类型

• 通用首部字段
  请求报文和响应报文两方都会使用的首部。
• 请求首部字段
  从客户端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、响应内容相关优先级等信息。
• 响应首部字段
  从服务器向客户端返回响应报文时使用的首部。补充了响应的附加内容，也会要求客户端附加额外的内容信息。
• 实体首部字段
  针对请求报文和响应报文的实体部分使用的首部。补充了资源内容更新时间等与实体相关的信息。

首部字段一览，共47种

• 通用首部字段

  
  
  

• 请求首部字段

  
  
  

  屏幕快照 2018-12-24 下午1.04.47.png

• 响应首部字段

  
  
  

  屏幕快照 2018-12-24 下午1.39.18.png

屏幕快照 2018-12-24 下午1.39.30.png

• 实体首部字段

  
  
  

  屏幕快照 2018-12-24 下午1.40.22.png

HTTP首部字段将定义成缓存代理和非缓存代理的行为，分成2种类型。

• 端到端首部
  分在此类别中的首部会转发给请求/响应对应的最终接收目标，且必须保存在由缓存生成的响应中，另外规定它必须被转发。
• 逐跳首部
  分在此类别中的首部只对本次转发有效，会因通过缓存或代理而不再转发。HTTP/1.1和之后版本中，如果要使用hop-by-hop首部，需提供Connection首部字段。

3. HTTP/1.1 通用首部字段

• Cache-Control
  用来操作缓存的工作机制

  • Public指令
    明确表明其他用户也可利用缓存
  • Private指令
    响应只以特定的用户作为对象。
    缓存服务器会对该特定用户提供资源缓存的服务，对于其他用户发送过来的请求，代理服务器则不会返回缓存。
  • no-cache指令
    为了防止从缓存中返回过期的资源。
    客户端发送的请求中如果包含no-cache指令，则表示客户端将不会接收缓存过的响应。于是，“中间”的缓存服务器必须把客户端请求转发给服务器。
    如果服务器返回的响应中包含no-cache指令，那么缓存服务器不能对资源进行缓存。源服务器以后也不再对缓存服务器请求中提出的资源有效性进行确认，且禁止其对响应资源进行缓存操作。
  • no-store指令
    暗示请求或响应中包含机密信息。因此，该指令规定缓存不能在本地存储或响应的任一部分。
  • s-maxage指令
    和max-age指令相同。不同点是s-maxage只适用于供多位用户使用的公共缓存服务器。
  • max-age指令
    当客户端发送的请求中包含max-age指令时，如果判断缓存资源的缓存时间数值比指定时间的数值更小，那么客户端就接收缓存的资源。当指定max-age值为0，那么缓存服务器通常需要将请求转发给源服务器。
    应用HTTP/1.1版本的缓存服务器遇到同时存在Expires首部字段的情况时，会优先处理max-age指令，而忽略掉Expires首部字段。而HTTP/1.0版本的缓存服务器的情况却相反，max-age会被忽略掉。
  • min-fresh指令
    要求缓存服务器返回至少还未过指定时间的缓存资源。
  • max-stale指令
    使用max-stale可指示缓存资源，即使过期也照常接收。
    如果指令未指定参数值，那么无论经过多久，客户端都会接收响应；如果指令中指定了具体数值，那么即使过期，只要仍处于max-stale指定的时间内，仍旧会被客户端接收。
  • only-if-cached指令
    表示客户端仅在缓存服务器本地缓存目标资源的情况下才会要求其返回。
  • must-revalidated指令
    代理会向源服务器再次验证即将返回的响应缓存目前是否仍然有效。
    使用must-revalidate指令会忽略请求的max-stale指令。
  • proxy-revalidate指令
    要求所有的缓存服务器在接收到客户端带有该指令的请求返回响应之前，必须再次验证缓存的有效性。
  • no-transform指令
    规定无论是在请求还是响应中，缓存都不能改变实体主体的媒体类型。
    这样做可防止缓存或代理压缩图片等类似操作。

• Connection
  控制不再转发给代理的首部字段，管理持久连接

  
  
  

  屏幕快照 2018-12-26 上午10.59.31.png
  
  
  

  屏幕快照 2018-12-26 上午11.00.15.png

• Date
  表明创建HTTP报文的时间和日期。

• Pragma
  Pragma是Http/1.1之前版本的历史遗留字段，仅作为与HTTP/1.0向后兼容而定义。
  如 Pragma: no-cache
  该首部字段属于通用首部字段，但只用在客户端发送的请求中。客户端会要求所有的中间服务器不返回缓存的资源。所有的中间服务器如果都能以HTTP/1.1为基准，那直接采用Cache-Control:no-cache指定缓存的处理方式是最为理想的。但要整体掌握全部中间服务器使用的HTTP协议版本却是不现实的。因此，发送的请求会同时包含下面两个首部字段。
  Cache-Control:no-cache
  Pragma:no-cache

• Trailer
  该字段会事先说明在报文主体后记录了哪些首部字段。该首部字段可应用在HTTP/1.1版本分块传输编码时。

• Transfer-Encoding
  规定了传输报文主体时采用的编码方式。

• Upgrade
  用于检测HTTP协议及其他协议是否可使用更高的版本进行通信，其参数值可以用来指定一个完全不同的通信协议。

• Via
  追踪客户端与服务器之间的请求和响应报文的传输路径。

• Warning
  通常会告知用户一些与缓存相关的问题的警告。
  Warning : [警告码][警告的主机:端口号] "[警告内容]" （[日期时间]）

4.请求首部字段

请求首部字段是从客户端往服务器端发送请求报文中所使用的字段，用于补充请求的附加信息、客户端信息、对响应内容相关的优先级等内容。

• Accept
  Accept首部字段可通知服务器，用户代理能够处理的媒体类型及媒体类型的相对优先级。可使用type/subtype这种形式，一次指定多种媒体类型。
  若想给显示的媒体类型增加优先级，则使用q=来额外表示权重值，用分号（;）进行分隔。权重值q的范围是0～1（可精确到小数点后3位）,且1位最大值。不指定权重值q时，默认权重为q=1.0。

• Accept-Charset
  Accept-Charset首部字段可用来通知服务器用户代理支持的字符集及字符集的相对优先顺序。另外，可一次性指定多种字符集。与首部字段Accept相同的是可用权重q值来表示相对优先级。

• Accept-Encoding
  用来告知服务器用户代理支持的内容编码及内容编码的优先级顺序。可一次性指定多种内容编码。

• Accept-Language
  用来告知服务器用户代理能够处理的自然语言集，以及自然语言集的相对优先级。

• Authorization
  用来告知服务器，用户代理的认证信息。通常，想要通过服务器认证的用户代理会在接收到返回的401状态码响应后，把首部字段Authorization加入请求中。

• Expert
  客户端使用首部字段Expect来告知服务器，期望出现的某种特定的行为。

• From
  首部字段From用来告知服务器使用用户代理的用户的电子邮件地址。通常，其使用目的就是为了显示搜索引擎等用户代理的负责人的电子邮件联系方式。

• Host
  首部字段Host会告知服务器，请求的资源所处的互联网主机名和端口号。Host首部字段在HTTP/1.1规范内是唯一一个必须被包含在请求内的首部字段。若服务器未设定主机名，那直接发送一个空值即可，如 Host:

• If-Match
  形如If-xxx这种样式的请求首部字段，都可称为条件请求。服务器接收到附带条件的请求后，只有判断指定条件为真时，才会执行请求。服务器会对比If-Match的字段值和资源的ETag值，仅当两者一致时，才会执行请求。反之，则返回状态码412Precondition Failed的响应。

• If-Modified-Since
  会告知服务器若If-Modified-Since字段值早于资源的更新时间，则希望能处理该请求。

• If-None-Match
  和If-Match作用相反。用于指定If-None-Match作用相反。用于指定If-None-Match字段值的实体标记（ETag）值与请求资源的ETag不一致时，它就告知服务器处理该请求。

• If-Range
  它告知服务器若指定的If-Range字段值（ETag值或者时间）和请求资源的ETag值或时间相一致时，则作为范围请求处理。反之，则返回全体资源。

• If-Unmodified-Since
  首部字段If-Unmodified-Since和首部字段If-Modified-Since的作用相反。它的作用是告知服务器，指定的请求资源只有在字段值指定的日期时间之后，未发生更新的情况下，才能处理请求。

• Max-Forwards
  该字段以十进制整数形式指定可经过的服务器最大数目。服务器在往下一个服务器转发请求之前，Max-Forwards的值减1后重新赋值。当服务器接收到Max-Forwards值为0的请求时，则不再进行转发，而是直接返回响应。

• Proxy-Authorization
  接收到从代理服务器发来的认证质询时，客户端会发送包含首部字段Proxy-Authorization的请求，以告知服务器认证所需要的信息。

• Range
  对于只需获取部分资源的范围请求，包含首部字段Range即可告知服务器资源的指定范围。

• Referer
  告知服务器请求的原始资源的URI。

• TE
  告知服务器客户端能够处理响应的传输编码方式及相对优先级。它和首部字段Accept-Encoding的功能很相像，但是用于传输编码。

• User-Agent
  首部字段User-Agent会将创建请求的浏览器和用户代理名称等信息传达给服务器。

5.响应首部字段

响应首部字段是由服务器端向客户端返回响应报文中所使用的字段，用于补充响应的附加信息、服务器信息，以及对客户端的附加要求等信息。

• Accept-Ranges
  用来告知客户端服务器是否能处理范围请求，以指定获取服务器端某个部分的资源。

• Age
  能告知客户端，源服务器在多久前创建了响应。字段值的单位为秒。

• ETag
  能告知客户端实体标识。它是一种可将资源以字符串形式做唯一性标识的方式。服务器会为每份资源分配对应的ETag值。

• Location
  可以将响应接收方引导至某个与请求URI位置不同的资源。

• Proxy-Authenticate
  会把代理服务器所要求的认证信息发送给客户端。

• Retry-After
  告知客户端应该在多久之后再次发送请求。单位秒

• Server
  告知客户端当前服务器上安装的HTTP服务器应用程序的信息。

• Vary
  可对缓存进行控制。源服务器会向代理服务器传达关于本地缓存使用方法的命令。
  从代理服务器接收到源服务器返回包含Vary指定项的响应之后，若再要进行缓存，仅对请求中含有相同Vary指定首部字段的请求返回进行缓存。即使对相同资源发起请求，但由于Vary指定的首部字段不相同，因此必须从源服务器重新获取资源。

• WWW-Authenticate
  用于HTTP访问认证。它会告知客户端适用于访问请求URI所指定资源的认证方案和带参数提示的质询。

6.6实体首部字段

是包含在请求报文和响应报文中的实体部分所使用的首部，用于补充内容的更新时间等与实体相关的信息。

• Allow
  用于通知客户端能够支持Request-URI指定资源的所有HTTP方法。当服务器接收到不支持的HTTP方法时，会以状态码405 Method Not Allowed作为响应返回。与此同时，还会把所有能支持的HTTP方法写入首部字段Allow后返回。

• Content-Encoding
  会告知客户端服务器对实体的主体部分选用的内容编码方式。内容编码是指在不丢失实体信息的前提下所进行的压缩。

• Content-Language
  告知客户端，实体主体使用的自然语言。

• Content-Length
  表明了实体主体部分的大小。对实体主体进行内容编码传输时，不能再使用Content-Length

• Content-Location
  给出与报文主体部分相对应的URI。和首部字段Location不同，Content-Location表示的是报文主体返回资源对应的URI。

• Content-MD5
  首部字段Content-MD5是一串由MD5算法生成的值，其目的在于检查报文主体在传输过程中是否保持完整，以及确认传输到达。

• Content-Range
  针对范围请求时，返回响应时使用的首部字段Content-Range,能告知客户端作为响应返回的实体的哪一部分符合范围请求，字段值以字节为单位，表示当前发送部分及整个实体部分。

• Content-Type
  说明了实体主体内对象的媒体类型。和首部字段Accept一样，字段值用type/subtype形式赋值。

• Expires
  会将资源失效的日期告知客户端。

• Last-Modified
  指明资源最终修改的时间。

7.为Cookie服务的首部字段

• Set-Cookie
  当服务器准备开始管理客户端的状态时，会事先告知各种信息。

  
  
  

  屏幕快照 2018-12-30 下午3.11.26.png

屏幕快照 2018-12-30 下午3.11.36.png

• Cookie
  告知服务器，当客户端想获得HTTP状态管理支持时，就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时，同样可以以多个Cookie形式发送。

8.其他首部字段

HTTP首部字段是可以自行扩展的。所以在Web服务器和浏览器的应用上，会出现各种非标准的首部字段。

• X-Frame-Options
  属于HTTP响应首部，用于控制网站内容在其他Web网站的Frame标签内的显示问题。其主要目的是为了防止点击劫持攻击。
• X-XSS-Protection
  属于HTTP响应首部，它是针对跨站脚本攻击的一种对策，用于控制浏览器XSS防护机制的开关。
  0.将XSS过滤设置成无效状态
  1.将XSS过滤设置成有效状态
• DNT
  属于HTTP请求首部，其中DNT是Do Not Track的简称，意为拒绝个人信息被收集，是表示拒绝被精准广告追踪的一种方法。
  0.同意被追踪
  1.拒绝被追踪
• P3P
  属于HTTP相应首部，通过利用P3P技术，可以让Web网站上的个人隐私变成一种仅供程序可理解的形式，以达到保护用户隐私的目的。