http headers大总结

http headers

本文记录自己使用和理解到的headers，参考MDN，如有不同看法请发评论。

方向表示是请求header还是响应header或者两种情况都有，r是请求header，w是响应header，空白就是双向header；作用和解释如果是空白就是我不清楚。

Name	方向	作用	解释
Accept	r	通用	请求时告诉服务端可以接受的响应类型,用于协商，服务端会按照顺序和权重返回合适的响应数据类型。
Accept-Charset	r	通用	同上 客户端接受的字符集。
Accept-Encoding	r	通用	同上 客户端可以接受的压缩编码。
Accept-Language	r	通用	同上 客户端接受语言。
Accept-Ranges	w	Range	在Range请求时返回，标识返回类型，通常返回Accept-Ranges: bytes。
Access-Control-Allow-Credentials	w	CORS	允许浏览器读取response的认证内容。
Access-Control-Allow-Headers	w	CORS	实际请求中允许携带的首部字段。
Access-Control-Allow-Methods	w	CORS	实际请求所允许使用的 HTTP 方法。
Access-Control-Allow-Origin	w	CORS	指定允许请求的源站，一般该响应值为请求的Origin，部分阅览器将不再支持*。
Access-Control-Expose-Headers	w	CORS	允许客户端读取响应额外的headers。
Access-Control-Max-Age	w	CORS	preflight请求的结果能够被缓存多久。
Access-Control-Request-Headers	r	CORS	实际请求需要附加的header。
Access-Control-Request-Method	r	CORS	实际请求的方法。
Age	w	proxy	代理缓存资源时间。
Allow	w	405	在返回405状态码时，记录服务端允许的请求方法。
Alt-Svc	w	http3	在客户端发起请求后，服务端使用Alt-Svc header表示自己支持的h3地址和版本。
Authorization	r	auth	发送客户端验证信息，未认证或认证失败返回401，然后重新输入认证信息。
Cache-Control		cache	客户端表示是否接受缓存类型，服务端表示如何进行缓存。
Connection		通用	值为Close表示关闭连接，Keep-Alive表示使用长连接，Upgrade在Upgrade机制使用。
Content-Disposition	w	通用	响应body的描述，例如文件下载后的文件名称。
Content-Encoding		通用	表示body的编码类型，通常出现就是gzip，是响应协商Accept-Encoding的值。
Content-Language		通用	同上 body使用的语言，响应协商Accept-Language。
Content-Length		通用	同上 body的长度，在不使用分段传输的长连接才会有此header，记录这个body的长度用于区别下一个请求。
Content-Location		通用
Content-Range	w	Range	表示Range请求返回的数据是整体的那一段位置。
Content-Security-Policy	w	安全 CSP	CSP的值，也可以设置在html head meta里面，是安全相关阅览器策略。
Content-Type		通用	表示body内容的数据类型，例如json、xml、text、html。
Cookie	r	Cookie	请求时发送的Cookie键值对数据。
Cross-Origin-Resource-Policy	w
DNT	r	chrome	chrome里面有一个选项开启后会发送，表示不希望被追踪，作用未知。
Date		通用	表示请求或响应的创建时间。
Digest	w	通用	记录请求资源的摘要。
ETag	w	cache	相当于响应的hash值，用于下次请求时判断是否内容改变。
Expect	r	通用	发送Expect: 100-continue后不会发送body，需要服务端返回100后才会继续发送body，可以让服务端判断是否需要发送body。
Expect-CT	w	安全 CT	服务端返回证书的CT信息。
Expires	w	cache	记录缓存的过期时间。
Forwarded	r	proxy	和X-Forwarded-For类似，记录经过的代理ip。
From	r		发请求人的联系email。
Host	r	通用	http/1.1唯一的必要请求header，记录host值。
If-Match	r	cache	发送之前请求返回的Etag值，如果服务端匹配资源Etag才会响应。
If-Modified-Since	r	cache	发送上传请求该资源响应的Last-Modified值，用于服务端判断资源修改时间在此时间之前就返回304，否在返回200和资源。
If-None-Match	r	cache	发送之前请求返回的Etag值，如果服务端匹配就会返回304，否在返回200和资源。
If-Unmodified-Since	r	cache	判断资源修改时间在此时间之后才会返回200和资源，否在返回412。
Keep-Alive		通用	在Connection: Keep-Alive时的keepalive配置信息。
Last-Modified	w	cache	返回资源最后修改时间。
Location	w	redirect	记录重定向返回的新地址，响应码为：301、302、307、308。
Origin	r	CORS ws	表明预检请求或实际请求的源站,以及ws Upgrade时发送客户端地址。
Pragma		cache	兼容http/1.0，作用相当于Cache-Contro。l
Proxy-Authenticate	w	proxy auth	返回代理为认证需要发送认证信息，状态码407，类似www-Authenticate。
Proxy-Authorization	r	proxy auth	发送代理的验证信息。
Public-Key-Pins	w	安全 HPKP	hpkp记录证书的允许的多个hash，hash算法为sha256 sha384 sha512，如果hpkp不匹配阅览器一般会中断请求。
Range	r	Range	表示客户端请求需要服务端返回那一部分数据。
Referer	r	通用 安全	表示发送这个请求的引用地址，http会自动发送，https不会自动发送但是可以设置一个meta后就会自动发送。
Referrer-Policy	w	安全	表示资源引用策略和CSP类似。
Sec-WebSocket-Accept	w	ws	值为Sec-WebSocket-Key的值加固定字符串"258EAFA5-E914-47DA-95CA-C5AB0DC85B11"然后计算sha1,用于验证ws握手。
Sec-WebSocket-Key	r	ws	随机字符串。
Sec-WebSocket-Protocol	r	ws	ws客户端支持的扩展协议。
Sec-WebSocket-Version	r	ws	ws协议的版本，通常使用版本为13。
Server	w	通用	表示服务端信息，不要返回详细版本信息防止攻击。
Set-Cookie	w	Cookie	返回服务端设置的新的Cookie数据。
Trailer	w	通用	在分段传输时，Trailer指定在先返回body后再返回那些header。
Transfer-Encoding	w	通用	表示服务端使用的传输编码，例如分段传输。
Upgrade	r	ws	在Upgrade机制时发送该header，例如利用Upgrade机制握手ws时发送Upgrade: websocket header，Upgrade成功则返回101状态码。
Upgrade-Insecure-Requests	r	chrome	将下一个请求发送https协议，在chrome70后出现，如果html mate或header使用CSP响应了这个header，下一个请求会自动变成https，不存在30x重定向的过程。
User-Agent	r	通用	记录客户端的信息。
Vary	w	通用	表示服务端支持了那个协商的header。
WWW-Authenticate	w	auth	表示客户端需要验证或者验证不正确，和401状态码一起出现，然后需要重新输入认证信息。
X-Content-Type-Options	w	安全	强制要求响应返回Content-Type header，否在body作为text显示。
X-DNS-Prefetch-Control	w		用于启用DNS预读取功能，提前解析dns减少请求时间，作用未知。
X-Forwarded-For	r	proxy	与Forwarded作用一样记录经过的代理ip
X-Forwarded-Host	r	proxy	记录最初的请求的Host值。
X-Forwarded-Proto	r	proxy	代理端对端间使用的协议。
X-Frame-Options	w	安全	是Frame标签嵌套地址策略。
X-Powered-By	w	通用	通常php可能返回Powered-By: PHP/5.2.6，暴露了版本信息可能遭到相关版本bug攻击，需要删除。
X-XSS-Protection	w	安全	XSS安全相关。