图解HTTP第六章：HTTP首部

学习HTTP首部的结构和首部中各字段的用法。

HTTP首部字段

使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。

• 首部字段对应单个HTTP首部可以有多个值。如果首部字段重复，根据浏览器逻辑处理，有的以第一个为准，有的以最后出现的为准。

• 4种首部字段类型

  • 通用首部字段(General Header Fields)
  • 请求首部字段(Request Header Fields)
  • 响应首部字段(Response Header Fields)
  • 实体首部字段(Entity Header Fields)：针对请求报文和响应报文的实体部分使用的首部，补充了资源内容更新时间与实体有关的信息。

• 首部字段一览
  在HTTP通信过程中，不限于以下规范中的字段，还有Cookie、Set-Cookie、Content-Disposition等字段。
  
  
  
  

End-to-end首部和Hop-by-hop首部

HTTP首部字段根据缓存代理和非缓存代理的行为，分成2种类型（也可以根据类型分为通用、请求、响应、实体首部字段）：

• 端到端首部(End-to-end Header)
  此类别中的首部会转发给请求/响应对应的最终接收目标，且必须保存在由缓存生成的响应中，它必须被转发。

• 逐跳首部(Hop-by-hop Header)
  此类别中的首部只对单次转发有效，会因通过缓存或代理而不再转发。必需要提供Connnection字段才能使用hop-by-hop首部。它们有(除了这些全是端到端首部)：
  Connection、Keep-Alive、Proxy-Authenticate、Proxy-Authorization、Trailer、TE、Transfer-Encoding、Upgrade

通用首部字段：

• Cache-Control：通过该命令，就能操作缓存的工作机制；参数是多选的，通过,分隔。

  • 表示能否缓存的指令：
    Cache-Control：public，表明其他用户也可以利用缓存
    Cache-Control：private，只让特定用户缓存，缓存服务器会对该特定用户提供资源缓存的服务。

  • no-cache指令：
    请求使用时，则表示客户端将不会接收缓存过的响应，于是缓存服务器必须转发给源服务器。
    响应使用时，则表示缓存服务器不能缓存资源，源服务器也不对缓存服务器请求中提出的资源有效性进行确认，且禁止其对响应资源进行缓存操作。

  • 控制可执行缓存对象的指令no-store
no-store指令暗示请求(和对应的响应)中包含机密信息，因此规定缓存不能在本地存储请求或响应的任一部分。

  • 指定缓存期限和认证的指令

  • max-age=60(秒)：
    请求使用时，则判定缓存资源的缓存时间，小就获取缓存，大则缓存服务器转发给源服务器。
    响应使用时，缓存服务器将不对资源的有效性再作确认，该时间表示资源有效时间。
  • s-maxage=60(秒)：功能和max-age指令相同，但s-maxage只适用于供多位用户使用的公共缓存服务器。即对同一用户重复返回响应的服务器不起作用。使用s-maxage后，Expires和max-age会被忽略。
  • min-refresh=60(秒)：要求缓存服务器返回至少还未过指定时间的缓存资源。
  • max-stale=60(秒)：表示缓存资源即使过期，但仍处于该指令指定时间内，仍旧会被客户端接收。如未指定具体数值，则缓存资源一直有效。
  • only-if-cached：要求缓存服务器不重新加载响应，也不确认资源的有效性，直接返回。若缓存服务器无该缓存，则返回504。
  • must-revalidate：代理会向源服务器再次验证即将返回的响应缓存目前是否仍然有效。若代理无法连接到源服务器的话，则返回504。使用must-revalidate时会忽略max-stale指令。
    如果缓存过了新鲜期，则必须重新验证.而不是试图返回一个不在新鲜期的缓存.与no-cache的区别在于,no-cache,完全无视新鲜期的概念.总是强制重新验证.理论上,must-revalidate更节省流量,但相比no-cache,可能并不总是那么精准.因为即使缓存者，认为是新鲜的,也不能保证服务器端没有做过更新.如果缓存者是一个缓存代理服务器,如果其试图重新验证时，无法连接上原始服务器,则也不允许返回一个不新鲜的,缓存中的副本.而是必须返回一个504 Gateway timeout.
  • proxy-revalidate：限制上与must-revalidate类似.区别在于受体的范围.proxy-revalidate,是要排除掉用户代理(浏览器)的缓存的.即，其规则并不应用于用户代理的本地缓存上.
  • no-transform：无论请求还是响应中，缓存都不能改变实体主体的媒体类型，可以防止缓存或代理压缩图片等操作。
  • cache-extension：通过该指令标记，可以扩展Cache-Control首部字段内的指令。
    
    

• Connection：
  两个作用：

  • 控制不再转发给代理的首部字段
    客户端发送请求和服务器返回的响应内，使用Connection首部字段可控制不再转发给代理的首部字段(Hop-by-hop首部)。
  • 管理持久连接
    Connection:close、Connection:Keep-Alive表示服务端想断开连接或保持持久连接。

• Date：表明HTTP报文的日期和时间

• Pragma：Progma:no-cache遗留字段， 只在客户端发送的请求中，要求缓存服务器不返回缓存的资源。
• Trailer：说明在报文主体后记录了哪些首部字段。可应用在分块传输编码时。
• Transfer-Encoding：规定了传输报文主体时采用的编码方式。仅对分块传输编码有效。
• Upgrade：在使用该字段时，需额外指定Connection：Upgrade，用于检测是否可使用更高的版本进行通信，可以指定一个完全不同的通信协议。
• Via：追踪客户端和服务器之间的请求和响应报文的传输路径，可以避免请求回环的发送。报文经过代理或网关时，会先在首部字段Via中附加该服务器的信息，然后转发。
• Warning：告知用户一些与缓存相关的问题的警告。

请求首部字段

• Accept：可通知服务器，用户代理能够处理的媒体类型及媒体类型的相对优先级。可用用type/subtype这种形式，一次指定多种媒体类型。
• Accept-Charset：通知服务器用户代理支持的字符集及字符集的相对优先顺序。可一次指定多种字符集。
• Accept-Encoding：告知服务器用户代理支持的内容编码及内容编码的优先级顺序。可一次指定多种内容编码。gzip、compress、deflate、identity。
• Accept-Language：告知服务器用户代理能够处理的自然语言集，以及优先级。可一次指定多种。
• Authorization：
• Expect：告知服务器，期望出现的某种特定行为。因服务器无法理解客户端的期望作出回应而发生错误时，会返回417 Expectation Failed。
• From：告知服务器用时用户代理的用户的电子邮件地址。

• Host：虚拟主机运行在同一个IP上，使用Host区分。必须被包含在请求内的首部字段。

• 形如If-xxx这种请求首部，都可成为条件请求。服务器接收到附带条件的请求后，只有判断指定条件为真时，才会执行请求。

  • If-Match：它会告知服务器匹配资源所用的实体标记(ETag)值，这时的服务器无法使用弱ETag值。服务器会对比If-Match的字段值和资源的ETag值，仅当两者一致时，才会执行请求；反之，返回412 Precondition Failed。可以使用*指定If-Match值，服务器会忽略ETag值，只要资源存在就处理请求。
  • If-None-Match：和If-Match作用相反。只有在If-None-Match值与ETag值不一致时，可处理该请求。
  • If-Modified-Since：服务器在If-Modified-Since值后资源更新过，则处理该请求；如果没有更新过，则返回304 Not Modified。用于确认代理或客户端拥有的本地资源的有效性。
  • If-Range：告知服务器指定的If-Range值(ETag值或时间)和请求资源的ETag值或时间相一致时，则作为范围请求处理；反之，则返回全体资源。一般和Range请求头连用。
  • If-Unmodified-Since：和If-Modified-Since相反。指定的请求资源只有在字段值内指定的日期时间之后，未发生更新的情况下，才能处理请求。反之返回412 Precondition Failed。

• Max-Forwards：通过Trace或OPTIONS方法，发送包含首部字段Max-Forwards请求时，十进制整数，每转发一次，值减一，为0值，则不再转发，直接返回响应。

• Proxy-Authorization：接收到从代理服务器发来的认证质询时，客户端会使用该首部，以告知服务器认证所需要的信息。
• Range：获取部分资源的范围请求。成功处理时，返回206 Partial Content响应；无法处理时，返回200 OK。
• Referer：会告知服务器请求的原始资源的URI。
• TE：告知服务器客户端能够处理的传输编码方式及相对优先级。和Accept-Encoding功能很像，但用于传输编码。
  还可以指定伴随trailer字段的分块传输编码方式，只需要TE:trailers来指明。
• User-Agent：会将创建请求的浏览器和用户代理名称等信息传达给服务器。

响应首部字段

• Accept-Ranges：用来告知客户端服务器是否能处理范围请求，以指定获取服务器某个部分的资源。两个值：Accept-Ranges：bytes和Accept-Ranges：none。
• Age：单位是秒。指源服务器多久前创建了响应；如果是缓存服务器时，表示缓存后的响应再次发起认证到认证完成的时间值。代理创建的响应必须加上Age。
• ETag：ETag能告知客户端实体标识。它是一种可将资源以字符串形式做唯一性标识的方式，服务器会为每份资源分配对应的ETag值。
  强ETag值：实体发生的细微变化都会改变其值
  弱ETag值：只用于提示资源是否相同，只有发生根本性改变，ETag值才会变化，会在字段值开始处附加W/。
• Location：将响应接收方引导至某个与请求URI位置不同的资源。基本上它会和3xx : Redirection重定向一块使用。几乎所有浏览器在接收到Location响应后，都会强制性的尝试对已提示的重定向资源的访问。
• Proxy-Authenticate：把由代理服务器所要求的认证信息发送给客户端。
• Retry-After：告知客户端应该在多久之后再次发送请求，主要配合503 Service Unavalible或3xx Redirection一起使用。字段值可以指定具体日期时间、或创建响应后的秒数。
• Server：告知客户端当前服务器上安装的HTTP服务器应用程序的信息，包括软件应用名称、可能还有版本号和安装时启用的可选项。
• Vary：该首部可以对缓存进行控制。源服务器会向代理服务器传达关于本地缓存使用方法的命令。
  从代理服务器接收到源服务器返回包含Vary指定项的响应之后，再次接收到请求时，仅返回相同Vary首部的缓存；其它则必须要从源服务器重新获取。
• WWW-Authenticate：用于HTTP访问认证。会告知客户端适用于访问请求URI所指定资源的认证方案和带参数提示的质询。状态码401 Unauthorized响应中，肯定有这个首部字段。

实体首部字段

实体首部字段是在请求报文和响应报文中的实体部分所使用的首部，用于补充内容的更新时间等与实体相关的信息。

实体：作为请求或响应的有效载荷数据被传输，其内容由实体首部和实体主体组成。

• Allow：
  用于通知客户端能够能够支持Request-UIR指定资源的所有HTTP方法。当服务器接收到不支持的HTTP方法时，会返回状态码405 Method Not Allowed，同时会把所有能支持的HTTP方法写入首部字段Allow后返回。
• Content-Encoding：
  告知客户端服务器对实体的主体部分选用的内容编码方式。
• Content-Language：
  告知客户端，实体主体使用的自然语言。
• Content-Length：
  表明了实体主体部分的大小(字节)。对实体主体进行内容编码传输时，不能再使用Content-Length首部字段。
• Content-Location：
  给出与报文主体部分相对应的URI，表示返回的资源对应的URI。
• Content-MD5：
  是一串由MD5算法生成的值，其目的在于检查报文主体在传输过程中是否保持完整，以及确认传输到达。
• Content-Range：Content-Range：bytes5001-10000/10000
  告诉客户端作为响应返回的实体的哪个部分符合范围请求。以字节为单位，表示当前发送部分及整个实体大小。
• Content-Type：
  说明了实体主体内对象的媒体类型。
• Expires：
  会将资源失效的日期告知客户端。
  缓存服务器在接收到含有首部字段Expires的响应后，会以缓存来应答请求，在Expires字段值指定时间之前，缓存一直有效。超过是，会向源服务器请求资源。
  源服务器不希望缓存服务器对资源缓存时，在Expries字段内写入与首部字段Date相同的时间值。
  当Cache-Control指定了max-age指令时，会有限处理。
• Last-Modified
  指明资源最终修改时间。

为Cookie服务的首部字段

• Set-Cookie：
  

  • name：必须项。name=xxx
  • expires：指定浏览器可发送Cookie的有效期。
  • path：可用于限定Cookie的发送范围的文件目录。不能保证安全。
  • domain：通过该属性指定的域名可做到与结尾匹配一致即可发送Cookie。
  • secure：该属性用于限制Web页面仅在HTTPS安全连接时，才可以发送Cookie。Set-Cookie：name=xxx;secure
    HttpOnly：使Js脚本无法获得Cookie，防止XSS(Cross-site scripting)对Cookie的信息窃取。Set-Cookie：name=xxx;HttpOnly

• Cookie：告知服务器，当客户端想获得HTTP状态管理支持时，就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时，可以以多个Cookie形式发送。

参考：
你应该了解的 一些web缓存相关的概念.