03-HTTP报文
HTTP报文
报文流
HTTP报文是在HTTP应用程序之间发送的数据块,以一些文本形式的元信息开头,描述了报文的内容及其含义,后面跟着可选的数据部分。报文在客户端、服务器和代理之间流动。其术语:“流入”,“流出”,“上游”,“下游”都用于描述报文方向
流入与流出
这两个术语用于描述事务处理的方向。报文流入源端服务器,工作完成后,会流回用户的Agent代理中
报文向下流动
HTTP报文都会向下游流动。报文发送者都在接收者的上游;
报文的组成部分
HTTP报文是简单的格式化数据块,由三部分组成:对报文进行描述的起始行、包含属性的首部块,以及可选、包含数据的主体部分
- 起始行和首部是由行分隔的ASCII文本;
- 主体是一个可选数据块,可以包含文本或二进制数据,也可为空
报文的语法
HTTP报文可分为请求报文(request message)与响应报文(response message)两类
- 请求报文向服务器发送请求
- 响应报文则是服务器发回的响应
请求报文格式与响应报文格式
请求报文格式
/**
*/
响应报文格式
/**
*/
- 方法(method)
客户端希望向服务器对资源执行的操作,如:GET,POST等 - 请求URL(require-URL)
所请求的资源或URL路径组件完整的URL - 版本(version)
报文说使用的HTTP版本,格式如下:HTTP/.
其中主要版本号(major)和次要版本号(minor)都是整数。 - 状态码(status-code)
三位数数值描述了请求过程中说发生的情况。其第一位数值都用于描述状态的一般类别(成功、出错等) - 原因短语(reason-phrase)
数字状态的可读版本,包含终止序列之前的所有文本,其只对人类有意义 - 首部(header)
可以有零个或多个首部,每个首部包含一个名字,后面跟着一个冒号(:)与对应的值。 - 实体的主体部分(entity-body)
- 包含有任意数据组成的数据块,可为空
起始行
所有HTTP报文以起始行作为开始,请求报文的起始行说明要做什么,响应报文的起始行说明发生什么
- 请求行
请求服务器对资源进行一些操作是请求报文的起始行,包含一个方法,一个请求URL还有HTTP版本;HTTP/1.1之前,并不要求请求行中包含HTTP版本 - 响应行
承载状态信息与操作产生的所有数据结果,将其返回给客户端。是响应报文的起始行,包含HTTP版本,数字状态码,描述数字状态码的原因短语(status-code) - 方法
请求的起始行以方法作为开始,用于告知服务器要做什么。常用的HTTP方法如下:
| 方法 | 描述 | 是否包含主体 |
|---|---|---|
| GET | 从服务器获取数据 | 否 |
| HEAD | 只从服务器获取文档的首部 | 否 |
| POST | 向服务器发送需要处理的数据 | 是 |
| PUT | 将请求的主体部分存储在服务器上 | 是 |
| TRACE | 对可能经过代理服务器传送到服务器上去的报文进行追踪 | 否 |
| OPTIONS | 决定可以在服务器上执行哪些方法 | 否 |
| DELETE | 从服务器上删除一份文档 | 否 |
- 状态码
用于告知客户端发生的事情,在响应报文的起始行返回;根据三位数字代码对不同状态码进行分类,具体分类如下:
| 整体范围 | 已定义范围 | 分类 |
|---|---|---|
| 100-199 | 100-101 | 信息提示 |
| 200-299 | 200-206 | 成功 |
| 300-399 | 300-305 | 重定向 |
| 400-499 | 400-415 | 客户端错误 |
| 500-599 | 500-505 | 服务端错误 |
除已定义的范围外,均为扩展的状态码(服务端自己定义的)。
- 原因短语
响应行中最后的组件,以文本形式对状态码进行解释 - 版本号
以HTTP/x.y形式出现在请求和响应报文的起始行中,并且版本号不会被当成小数处理,需要单独对比
首部(headers)
HTTP首部字段向请求和响应报文中添加了附加信息,以名值对出现,语法为名:值;具体分类如下:
| 分类 | 说明 |
|---|---|
| 通用首部 | 既可以出现在请求报文中,也可以出现在响应报文中 |
| 请求首部 | 提供更多有关请求的信息 |
| 响应首部 | 提供更多有关响应的信息 |
| 实体首部 | 描述主体的长度和内容,或者资源自身 |
| 扩展首部 | 规范中没有定义的新首部 |
实体的主体部分
实体的主体是HTTP报文的负荷,是HTTP要传输的内容。可以承载各种类型的数字数据:图片,视频,软件程序,信用卡事务,HTML文档等
方法
并不是每个服务器都实现了所有方法,一台服务器要与HTTP1.1兼容,只需要实现GET方法与HEAD方法即可。即使服务器实现了所有方法,方法的使用也又有可能受限,限制通常在服务器配置中设置;
安全方法
GET与HEAD方法被称安全方法,即使用这两种方法不会产生什么操作(即查询类操作,不会修改数据),但还需要看服务端的具体实现
GET
通常用于请求服务端发送某种资源,HTTP/1.1要求服务器实现此方法
HEAD
与GETxie行为类似,但服务器在响应中只返回首部,不会返回实体部分;使用HEAD可以在客户端未获取实际资源之前,对资源首部进行检查,如:
- 在不获取资源的情况下了解资源情况(如:判断类型)
- 通过查看响应中的状态码,看看某个对象是否存在;
- 通过查看首部,测试资源是否被修改了
服务器开发者必须确保返回的首部与GET请求所返回的首部完全相同。遵循HTTP/1.1规范,就必须实现HEAD方法
PUT
PUT方法向服务器写入文档
POST
向服务器输入数据。支持HTML表单
TRACE
主要用于诊断;
OPTIONS
用于请求Web服务器告知支持的各种功能,通常在CORS跨域中,先发送一个OPTIONS请求,再根据结果判断是否发送第二次请求
DELETE
用于请求服务器删除请求URL的制定资源,但客户端程序无法保证删除操作是否一定会被执行
扩展方法
扩展方法指的是没有再HTTP/1.1规范中定义的方法,常见扩展方法如下:
| 方法 | 描述 |
|---|---|
| LOCK | 允许用户”锁定资源“——比如,可以再编辑某个资源时,将其锁定,以防别人同时进行修改 |
| MKCOL | 允许用户创建资源 |
| COPY | 便于再服务器上复制资源 |
| MOVE | 在服务器上移动资源 |
| 并不是所有扩展方法都是在正式规范中定义的,也就是不通用的,得看具体服务器是否实现; |
状态码
100~199(状态性状态码)
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 100 | Continue | 说明收到了请求的初始部分,请客户端继续。发送了这个状态码之后,服务器在收到请求之后必须进行响应 |
| 101 | Switching Protocols | 说明服务器正在根据客户端的指定,将协议切换成Update首部所列的协议 |
200~299(成功状态码)
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 200 | OK | 请求没问题,实体的主体部分包含了所请求的资源 |
| 201 | Created | 用于创建服务器对清的请求(如:PUT)。响应的主体部分中应该包含各种引用了已创建的资源的URL,Location首部包含的则是最具体的引用 |
| 202 | Accepted | 请求已被接受,但服务器还未对其执行任何动作。不能保证服务器会完成这个请求; |
| 203 | Non-Authoritative Information | 实体首部包含的信息不是来自源端服务器,而是来自资源的一份副本 |
| 204 | Nocontent | 响应报文中包含若干首部和一个状态行,但没有实体的主体部分。主要用于在浏览器不转为显示新文档的情况,对其进行更新 |
| 205 | Reset Content | 另一个主要用户浏览器的代码。负责告知浏览器清除当前页面中所有的HTML表单元素 |
| 206 | Partial | 成功执行了一个部分或Range(范围)请求 |
300~399(重定向状态码)
用于告知客户端使用替代位置访问对请求的URL或提供一个替代的响应而不是资源的内容;在对那些包含了重定向状态码非HEAD请求时,最好包含一个实体,在其中包含描述性信息和指向(多个)重定向URL;重定向状态码与原因短语如下:
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 300 | Multiple Choices | 客户端请求一个实际指向多个资源的URL时会返回这个状态码 |
| 301 | Moved Permanently | 在请求的URL已被移除时使用。响应的Location首部应该包含资源现在所处的URL |
| 302 | Found | 与301状态码类似;但是,客户端应该使用Location首部给出的URL来临时定位资源。将来的请求仍应使用老的URL |
| 303 | See Other | 告知客户端应该用另一个URL来获取资源。新的URL位于响应报文的Location首部。其主要目的是允许POST请求的响应将客户端定向到某个资源上去 |
| 304 | Not Modified | 客户端可以通过所包含的请求首部,使其请求变成有条件的 |
| 305 | Use Proxy | 用来说明必须通过一个代理来访问资源 |
| 306 | (未使用) | 当前未使用 |
| 307 | Temporary | 与301状态码类似;但客户端应该使用Location首部给出的URL来临时定位资源。将来的请求应该使用老的URL |
400~499(客户端错误状态码)
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 400 | Bad Request | 用于告知客户端它发送了一个错误的请求 |
| 401 | Unauthorized | 与适当的首部一同返回,在这些首部中请求客户端在获取对资源访问权之前,对自己进行认证 |
| 402 | Payment Required | 未使用,已被保留 |
| 403 | Forbidden | 用于说明请求被服务器拒绝了 |
| 404 | Not Found | 用于说明服务器无法找到所请求的URL |
| 405 | Method Not Allowed | 发起的请求中带有所请求的URL不支持的方法时,使用此状态码 |
| 406 | Not Acceptable | 客户端可以指定参数来说明他们原因接受什么类型的实体。服务器没有与客户端可接受的URL相匹配的资源时,使用此代码 |
| 407 | Proxy Authentication Required | 与401状态码类似,但用于要求对资源进行认证的代理服务器 |
| 408 | Request Timeout | 如果客户端完成请求所花的时间太长,服务器可以回送此状态码,并关闭链接 |
| 409 | Confict | 用于说明请求可能在资源上引发的一些冲突。服务器担心请求会引发冲突时,可以发送此状态码 |
| 410 | Gone | 与404类似,只是服务器曾经拥有过此资源。主要用于Web站点的维护,这些服务器管理者就可以在资源被移除的情况下通知客户端了 |
| 411 | Length Required | 服务器要求在请求报文中包含Content-Length首部时使用 |
| 412 | Precondition Failed | 客户端发起了条件请求,且其中一个条件失败了的时候使用。客户端包含了Expect首部时发起的就是条件请求 |
| 413 | Request Entity TooLarge | 客户端发送的实体主体部分比服务器能够或希望处理的要大时,使用此状态码 |
| 414 | Request URI TooLong | 客户端所发起的请求中的请求URL比服务器能够或者希望处理的要长时,使用此状态码 |
| 415 | Unsupported Media Type | 服务器无法理解或无法支持客户端所发实体的内容类型时,使用此状态码 |
| 416 | Requested Range Not Satisfiable | 请求报文所请求的是指定资源的某个范围,而此范围无效或无法满足时,使用此状态码 |
| 417 | Expecation Failed | 请求的Expect请求首部包含了一个期望,但服务器无法满足此期望时,使用此状态码 |
500~599(服务器错误状态码)
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 500 | Internal Server Error | 服务器遇到一个妨碍它为请求提供服务的错误时,使用此状态码 |
| 501 | not Implemented | 客户端发起的请求超出服务器的能力范围(如:使用服务器不支持的请求方法)时,使用此状态码 |
| 502 | Bad Gateway | 作为代理或网关使用的服务器从请求响应链的下一条链路上收到了一条伪响应(如,无法链接到其父网关)时,使用此状态码 |
| 503 | Service Unavailable | 用来说明服务器现在无法为请求提供服务,但将来可以 |
| 504 | Geteway Timeout | 与状态码408类似,只是这里的响应来自一个网关或代理,它们在等待另一服务器对其请求进行响应超时了 |
| 505 | HTTPVersion Not Supported | 服务器收到的请求使用了它无法或不愿支持的协议版本呢时,使用此状态码 |
首部
首部的五种主要类型如下:
- 通用首部:客户端和服务器都可以使用的通用首部
- 请求首部:请求报文特有的首部
- 响应首部:响应报文的首部
- 实体首部:用于应对实体部分的首部
- 扩展首部:非标准首部,由开发者创建,但未添加到已批准的HTTP规范中去
通用首部
提供与报文相关的基本信息
- 通用的信息性首部如下表:
| 首部 | 描述 |
|---|---|
| Connection | 允许客户端和服务器指定与请求/响应连接有关的选项 |
| Date | 提供日期和时间标志,说明报文是什么时候创建的 |
| MIME-Version | 给出了发送端使用的MIME版本 |
| Trailer | 如果报文采用了分块传输编码方式,就可以用这个首部列出位于报文拖挂部分的首部集合 |
| Transfer-Encoding | 告知接收端为了保证报文的可靠传输,对报文采用了什么编码方式 |
| Update | 给出了发送端可能想要升级的新版本或协议 |
| Via | 显示报文经过的中间节点(代理,网关) |
- 通用缓存首部如下表:
| 首部 | 描述 |
|---|---|
| Cache-Control | 用于随报文传送的缓存指示 |
| Pragma | 另一种随报文传送指示的方式,但并不专用与缓存 |
请求首部
- 请求的信息性首部如下表:
| 首部 | 描述 |
|---|---|
| Client-IP4 | 提供了运行客户端机器的IP地址 |
| From | 提供了客户端用户的E-mail地址 |
| Host | 给出了接受请求的服务器的主机名和端口号 |
| Referer | 提供了包含当前请求URI的文档的URL |
| UA-Color | 提供了与客户端显示的显示颜色有关的信息 |
| UA-CPU | 给i除了客户端CPU的类型或制造商 |
| UA-Disp | 提供了与客户端显示器(屏幕)能力有关的信息 |
| UA-OS | 给出了运行在客户端机器上的操作系统名称及版本 |
| UA-Pixels | 提供了客户端显示器的像素信息 |
| User-Agent | 将发起请求的应用程序名称告知服务器 |
- Accep首部
为客户端提供了一种将喜好和能力告知服务端的方式;Accet首部如下表:
| 首部 | 描述 |
|---|---|
| Accept | 告诉服务器能够发送哪些媒体类型 |
| Accept-Charset | 告诉服务器能够发送哪些字符集 |
| Accept-Encoding | 告诉服务器能够发送哪些编码方式 |
| Accept-Language | 告诉服务器能够发送哪些语言 |
| TE | 告诉服务器可以使用哪些跨站传输编码 |
- 条件请求首部
为请求加上某些限制,如:条件缓存;条件请求首部如下表
| 首部 | 描述 |
|---|---|
| Expect | 允许客户端列出某请求所要求的服务器行为 |
| If-Match | 如果实体标记与文档当前的实体标记匹配,就获取这份文档 |
| If-Modified-Since | 除非在某个指定的日期之后资源被修改过,否则限制这个请求 |
| If-None-Match | 如果提供的实体标记与当前文档的实体标记不相符,就获取文档 |
| If-Range | 允许对文档的某个范围进行条件请求 |
| If-Unmodified-Since | 除非在某个指定日期之后资源没有被修改过,否则就限制这个请求 |
| Range | 如果服务器支持范围请求,就请求资源的指定范围 |
安全请求首部
HTTP支持一种简单的机制,可以对请求进行质询/响应认证。这种机制要求客户端在获取特定资源之前,先对自身进行认证,可以使事务稍微安全些;部分安全请求首部如下:
| 首部 | 描述 |
|---|---|
| Authorization | 包含了客户端提供给服务器,以便对其自身进行认证的数据 |
| Cookie | 客户端用它向服务器传送一个令牌-它并不是真正的安全首部,但确实隐含了安全功能 |
| Cookie2 | 用来说明请求端支持的cookie版本 |
代理请求首部
| 首部 | 描述 |
|---|---|
| Max-Forward | 在通往源端服务器的路径上,将请求转发给其他代理或网关的最大次数–与TRACE方法一同使用 |
| Proxy-Authorization | 与Authorization首部相同,但这个首部是在与代理进行认证时使用的 |
| Proxy-Connection | 与Connection首部相同,但这个首部是在与代理建立连接时使用的 |
响应首部
响应信息性首部如下表:
| 首部 | 描述 |
|---|---|
| Age | (从最初创建开始)响应持续时间 |
| Public | 服务器为其资源支持的请求方法列表 |
| Retry-After | 如果资源不可用的话,在此日期或时间重试 |
| Server | 服务器应用程序软件的名称和版本 |
| Title | 对HTML文档来说,就是HTML文档的源端给出的标题 |
| Warning | 比原因短语中更详细一些的警告报文 |
协商首部
HTTP/1,1为服务器和客户端提供对资源进行协商的能力,协商首部如下表:
| 首部 | 描述 |
|---|---|
| Accept-Ranges | 对此资源来说,服务器可接受的范围 |
| Vary | 服务器查看的其他首部的列表,可能会使响应发生变化 |
安全响应首部
安全响应首部如下表:
| 首部 | 描述 |
|---|---|
| Proxy-Authenticate | 来自代理的对客户端的质询列表 |
| Set-Cookie | 不是真正的安全首部,但隐含有安全功能;可以在客户端设置一个令牌,以便服务器对客户端进行标识 |
| Set-Cookie2 | 与Set-Cookie类似,RFC2965Cookie定义 |
| WWW-Authenticate | 来自服务器的对客户端的质询列表 |
实体首部
描述HTTP报文的负荷,在请求与响应报文中都可能出现;
信息性首部
实体信息性首部如下表:
| 首部 | 描述 |
|---|---|
| Allow | 列出了可以对此实体执行的请求方法 |
| Location | 告知客户端实体实际上位于何处;用于将接受端定向到资源的(可能是新的)位置(URL)上去 |
内容首部
提供与实体内容有关的特定信息,如下表:
| 首部 | 描述 |
|---|---|
| Content-Base | 解析主体中的相对URL时使用的基础URL |
| Content-Encoding | 对主体执行的任意编码方式 |
| Content-Language | 理解主体时最适宜使用的自然语言 |
| Content-Length | 主体的长度或尺寸 |
| Content-Location | 资源实际所处的位置 |
| Conent-MD5 | 主体的MD5校验和 |
| Content-Range | 在整个资源中此实体表示的字节范围 |
| Content-Type | 主体的对象类型 |
实体缓存首部
提供与被缓存实体有关的信息,如下表:
| 首部 | 描述 |
|---|---|
| ETag | 与此实体相关的实体标记 |
| Expries | 实体不再有效,要从原始的源端再次获取此实体的日期和时间 |
| Last-Modified | 整个实体最后一次被修改的日期和时间 |