HTTP报文学习
HTTP报文用于HTTP协议的信息交互,分为请求报文和响应报文。报文由首部和主体两部分组成,中间使用空行(CR+LF)分隔
1. 报文结构
- 报文由首部、空行和实体组成;
- 报文中首先是请求行或者状态行,然后是各种首部字段,再就是空行和实体;
- 首部包含请求和响应的各种条件和属性,主要分为请求首部、响应首部、通用首部、实体首部和其他,cookie就在未定义的其他首部中。
2. 报文信息
- 编码提升传送速率:
- 由于需要进行编码,会消耗更多的CPU资源;
- 报文主体和实体主题在编码后不一致,编码后实体主体发生变化;
- 对实体主体进行内容编码后,可以通过Content-Encoding查看编码类型;
- 实体主体编码后可以进行分块传输,客户端接收后进行解析,Transfer-Encoding:chunked。
- 可以发送多部分实体对象集合,通过首部Content-Type查看信息;
- 可以获取资源的内容范围,通过content-range首部;
- 服务端和客户端可以通过ACCEPT等首部进行协商,确定返回的内容。
3. 通用首部字段
- Cache-Control:控制缓存的行为
- 浏览器缓存会使用该字段;
- no-cache: 强制向原服务器再次验证;
- max-age: 必须,响应的最大值;
- Connection:逐跳首部、连接的管理
- 管理持久连接;
- 控制不再转发给代理的首部字段;
- Date:创建报文的日期时间
- Program:报文指令
- Trailer:报文末端的首部一览
- 报文实体后面存在的首部字段,分块传输使用;
- Transfer-Encoding:指定报文主体的传输编码方式
- HTTP/1.1中仅对分块传输有效;
- Upgrade:升级为其他协议
- Via:代理服务器的相关信息
- Warning:错误通知
4. 请求首部字段
- Accept:用户代理可处理的媒体类型
- text/html,application/json
- 可以使用q指定优先级,1为最大值,如text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8;
- Accept-Charset:优先的字符集
- Accept-Encoding:优先的内容编码
- compress、gzip等;
- Accept-Language:优先的语言(自然语言)
- zh-CN,zh;q=0.8,en;q=0.6,la;q=0.4;
- Authorization:Web认证信息
- Expect:期待服务器的特定行为
- From:用户的电子邮箱地址
- Host:请求资源所在的服务器
- If-Match:比较实体标记(ETag)
- 与特定资源关联;
- If-Modified-Since:比较资源的更新时间
- If-None-Match:比较实体标记(与If-Match相反)
- If-Range:资源未更新时发送实体Byte的范围请求
- If-Unmodified-Since:比较资源的更新时间(与If-Modified-Since相反)
- Max-Forwards:最大传输逐跳数
- Proxy-Authorization:代理服务器要求客户端的认证信息
- Range:实体的字节范围请求
- Referer:对请求中的URI的原始获取方
- TE:传输编码的优先级
- User-Agent:HTTP客户端程序的信息
- 传递浏览器种类;
5. 响应首部字段
- Accept-Ranges:是否接受字节范围请求
- Age:推算资源创建经过时间
- ETag:资源的匹配信息
- 每分资源都有对应的ETag值;
- Location:令客户端重定向至指定URI
- Proxy-Authenticate:代理服务器对客户端的认证信息
- Retry-After:对再次发起请求的时机要求
- Server:HTTP服务器的安装信息
- Vary:代理服务器缓存的管理信息
- WWW-Authenticate:服务器对客户端的认证信息
6. 实体首部字段
- Allow: 资源可支持的HTTP方法
- Content-Encoding: 实体主体使用的编码方式
- Content-Language: 实体主体的自然语言
- Content-Length: 实体主体的大小(单位:字节)
- Content-Location: 替换对应资源的URI
- Content-MD5: 实体主体的报文摘要
- Content-Range: 实体主体的位置范围
- Content-Type: 实体主体的媒体类型
- Expires: 实体主体过期的日期时间
- Last-Modified: 资源的最后修改日期时间
7. 其他首部字段
- 和cookie相关的首部:
- set-cookie:响应首部,管理使用的cookie,键值对;
- httponly: js无法获取cookie,防止跨站脚本攻击XSS;
- cookie:请求首部,服务器接收;
- X-Frame-Options:响应首部,可以控制网站内容在其他Web网站的Frame标签内的显示问题,防止点击劫持;
- X-XSS-Protection:XSS防护0/1。