Http请求与响应--header头部字段
时间:2023-07-30 10:37:19
目录
目录
前提:
头部字段全景:
Http头部字段解释:
Accept:
作用:
请求与响应类型不一致:
标签下的请求报告accept字段:-toc" style="margin-left:80px;">a标签下的请求报告accept字段:
值域:
text/xml与application/xml区别:
HTTPS作用:
前提:
涉及项目开发header获取和设置头部字段,所以我想理解和记录它http后续补充和回顾头部字段的知识。
头部字段全景:
一、常用标准请求头字段 Accept 设置接受的内容类型 Accept-Charset 设置接受的字符编码 Accept-Encoding 设置接受的编码格式 Accept-Datetime 设置接受版本时间 Accept-Language 设置接受语言 Authorization 设置HTTP身份验证凭证 Cache-Control 响应链上所有缓存机制必须遵守的指令 Connection 设置当前连接和hop-by-hop协议要求控制字段列表的选项 Content-Length 设置请求体字节长度 Content-MD5 设置基于MD5算法用于请求体的内容Base64二进制编码 Content-Type 设置请求体MIME类型(适用POST和PUT请求) Cookie 使用服务器Set-Cookie发送的http cookie Date 设置发送消息的日期和时间 Expect 识别客户端需要的特殊浏览器行为 Forwarded 通过客户端披露http代理连接web服务源信息 From 设置发送请求的用户email地址 Host 设置服务器域名和TCP端口号,如果使用服务请求标准端口号,可以省略端口号 If-Match 设置客户端ETag,当时客户端ETag与服务器生成ETag一致性适用于自上次更新以来未更改的资源更新 If-Modified-Since 设置更新时间,如果资源没有改变,服务端可以返回304 Not Modified If-None-Match 设置客户端ETag,服务端接受请求生成的ETage相同,允许服务端返回304 Not Modified If-Range 设置客户端ETag,服务端接受请求生成的ETage同样,返回缺失的实体部分;否则,返回整个新实体 If-Unmodified-Since 设置更新时间,在此期间,实体没有改变,只有从更新时间到服务端接受请求。只有服务发送响应 Max-Forwards 限制代理或网关转发消息的次数 Origin 标识跨域资源请求(请求设置服务端)Access-Control-Allow-Origin响应字段) Pragma 设置特殊实现字段,可能对请求响应链有多种影响 Proxy-Authorization 连接代理授权认证信息 Range 要求部分实体设置要求实体的字节数范围,详见HTTP/1.1中的Byte serving Referer 设置前一页的地址,前一页的连接指向当前请求,即如果当前请求发送到A页,那么referer就是A 页面的url地址(轶事:这个词的正确拼法应该是"referrer",然而,在许多规范中,它们被组成"referer",因此,这个词成为标准用法) TE 设置用户代理期望接受的传输编码格式,和响应头Transfer-Encoding字段一样 Upgrade 请求服务端升级协议 User-Agent 用户代理的字符串值 Via 通知服务器代理请求 Warning 一般警告实体可能出现的问题 二、常用的非标准请求头字段 X-Requested-With 标识Ajax请求,大部分js框架发送请求时,设置为XMLHttpRequest DNT 请求web应用禁用用户追踪 X-Forwarded-For 事实标准,用于识别客户端的通过HTTP代理或负载均衡器连接web原始服务器IP地址 X-Forwarded-Host 用于识别客户端的事实标准HTTP请求头中请求的原始host,由于主机名或反向代理的端口可能与处理请求的原始服务器不同 X-Forwarded-Proto 事实标准用于识别HTTP由于反向代理或负载平衡器和原始协议web可使用服务器http,但要求反向代理使用的是https Front-End-Https 非标准的微软应用程序和负载平衡器header字段 Front-End-Https: on X-Http-Method-Override 请求web应用时,使用header字段中给定的方法(通常是put或者delete)覆盖请求中指定的方法(通常是post),如果用户代理或防火 墙体不支持直接使用put或者delete方法发送请求时,这个字段可以使用 X-ATT-DeviceId 允许更简单地分析用户代理AT&T设备上的MakeModel/Firmware X-Wap-Profile 设置描述当前连接设备的详细信息xml网络中文件的位置 Proxy-Connection 早起HTTP版本中的一个误称,现在使用标准connection字段 X-UIDH 唯一一个插入服务端深度包检测的人ID标识Verizon Wireless的客户 X-Csrf-Token,X-CSRFToken,X-XSRF-TOKEN 防止伪造跨站请求 X-Request-ID,X-Correlation-ID 标识客户端和服务端的HTTP请求 三、常用标准响应头 Access-Control-Allow-Origin 指定哪些网站可以参与跨站资源共享 Accept-Patch 指定服务器支持的补丁文档格式,适用于http的patch方法 Accept-Ranges 服务器通过byte serving支持的部分内容范围类型 Age 代理缓存中对象暂存的秒数 Allow 设置特定资源的有效行为,不允许适用方法http 405错误 Alt-Svc 服务器使用"Alt-Svc"(Alternative Servicesde缩写)头资源可以通过不同的网络位置或不同的网络协议获得 Cache-Control 告诉服务端到客户端的所有缓存机制是否可以缓存此对象,单位是秒 Connection 设置当前连接和hop-by-hop协议要求控制字段列表的选项 Content-Disposition 告诉客户弹出文件下载框,并指定下载文件名称 ontent-Encoding 设置数据使用的编码类型
Content-Language 为封闭内容设置自然语言或者目标用户语言
Content-Length 响应体的字节长度
Content-Location 设置返回数据的另一个位置
Content-MD5 设置基于MD5算法对响应体内容进行Base64二进制编码
Content-Range 标识响应体内容属于完整消息体中的那一部分
Content-Type 设置响应体的MIME类型
Date 设置消息发送的日期和时间
ETag 特定版本资源的标识符,通常是消息摘要
Expires 设置响应体的过期时间
Last-Modified 设置请求对象最后一次的修改日期
Link 设置与其他资源的类型关系
Location 在重定向中或者创建新资源时使用
P3P 以P3P:CP="your_compact_policy"的格式设置支持P3P(Platform for Privacy Preferences Project)策略,
大部分浏览器没有完全支持P3P策略,许多站点设置假的策略内容欺骗支持P3P策略的浏览器以获取第三方cookie的授权
Pragma 设置特殊实现字段,可能会对请求响应链有多种影响
Proxy-Authenticate 设置访问代理的请求权限
Public-Key-Pins 设置站点的授权TLS证书
Refresh "重定向或者新资源创建时使用,在页面的头部有个扩展可以实现相似的功能,并且大部分浏览器都支持
Retry-After 如果实体暂时不可用,可以设置这个值让客户端重试,可以使用时间段(单位是秒)或者HTTP时间
Server 服务器名称
Set-Cookie 设置HTTP Cookie
Status 设置HTTP响应状态
Strict-Transport-Security 一种HSTS策略通知HTTP客户端缓存HTTPS策略多长时间以及是否应用到子域
Trailer 标识给定的header字段将展示在后续的chunked编码的消息中
Transfer-Encoding 设置传输实体的编码格式,目前支持的格式: chunked, compress, deflate, gzip, identity
TSV Tracking Status Value, 在响应中设置给DNT(do-not-track),可能的取值
"!" — under construction
"?" — dynamic
"G" — gateway to multiple parties
"N" — not tracking
"T" — tracking
"C" — tracking with consent
"P" — tracking only if consented
"D" — disregarding DNT
"U" — updated
Upgrade 请求客户端升级协议
Vary 通知下级代理如何匹配未来的请求头已让其决定缓存的响应是否可用而不是重新从源主机请求新的
Via 通知客户端代理,通过其要发送什么响应
Warning 实体可能会发生的问题的通用警告
WWW-Authenticate 标识访问请求实体的身份验证方案
X-Frame-Options 点击劫持保护:
deny frame 中不渲染
sameorigin 如果源不匹配不渲染
allow-from 允许指定位置访问
allowall 不标准,允许任意位置访问
四、常用的非标准响应头
X-XSS-Protection 过滤跨站脚本
Content-Security-Policy, X-Content-Security-Policy,X-WebKit-CSP 定义内容安全策略
X-Content-Type-Options 唯一的取值是"",阻止IE在响应中嗅探定义的内容格式以外的其他MIME格式
X-Powered-By 指定支持web应用的技术
X-UA-Compatible 推荐首选的渲染引擎来展示内容,通常向后兼容,也用于激活IE中内嵌chrome框架插件
X-Content-Duration 提供音视频的持续时间,单位是秒,只有Gecko内核浏览器支持
Upgrade-Insecure-Requests 标识服务器是否可以处理HTTPS协议
X-Request-ID,X-Correlation-ID 标识一个客户端和服务端的请求来源:Http头部字段总结
Http头部字段解释:
Accept:
作用:
请求报文注明的请求端接收响应报文类型。
请求与响应类型不一致问题:
若http请求的accept与该请求的http响应的content-type不一致或不匹配,则会报406错误。无特定指示,一般accept默认能接受所有类型数据,具体为accept:*/*表示。
a标签下的请求报文accept字段:
若使用html的标签发送请求,则accept字段由浏览器设置,不同浏览器会设置不同的accept,不过基本都包含*/*。
值域:
text/html :HTML格式
text/plain :纯文本格式
text/xml :XML格式
image/gif :gif图片格式
image/jpeg :jpg图片格式
image/png :png图片格式
video/mpeg :视频
vedio/quicktime :视频
application/xhtml+xml :XHTML格式
application/xml :XML数据格式
application/atom+xml :Atom XML聚合格式
application/json :JSON数据格式
application/pdf :pdf格式
application/msword :Word文档格式
application/octet-stream : 二进制流数据(如常见的文件下载)
application/x-www-form-urlencoded : form表单数据默认的提交数据的格式,被编码为key:value格式
text/xml与application/xml区别:
两者功能一致,唯一区别在于编码的格式。
text/xml忽略xml头所指定的编码方式,而使用默认ascII编码方式(可以在Content-Type字段中指定编码:Content-Type: text/xml; charset="utf-8");application/xml会根据xml头的编码方式对xml进行编码。
HTTPS作用:
- 加密传输:在HTTP与传输层间加了ssl加密层,在网络中实现加密传输,针对整个http报文进行加密(包括其中的url)
- 防范中间人攻击:通过CA机构颁布的CA证书验证服务器端是否可信。
