http报文
http报文是http协议的核心所在,http客户端和http服务端正是通过交换http报文进行通信的。http报文以一些文本形式的元信息(meta-information)开头,这些信息描述了报文的内容及含义,后面跟着可选的数据部分。
http报文总是向下游流动的。对于客户端而言,代理和服务器就是它的下游,请求报文会流向代理,然后在流向服务器;对于服务器而言,代理和客户端就是它的下游,报文会流向代理和客户端。如图所示:
报文组成部分
http报文由三个部分组成:对报文进行描述的起始行(start line)、包含属性的首部(header)块,以及可选的、包含数据的主体(body)部分。
起始行和首部就是由行分隔的 ASCII 文本。每行都以一个由两个字符组成的行终止序列作为结束,其中包括一个回车符(ASCII 码 13)和一个换行符(ASCII 码 10)。这个行终止序列可以写做 CRLF。需要指出的是,尽管 HTTP 规范中说明应该用CRLF 来表示行终止,但稳健的应用程序也应该接受单个换行符作为行的终止。有些老的,或不完整的 HTTP 应用程序并不总是既发送回车符,又发送换行符。
报文的主体(或者就称为主体)是一个可选的数据块。与起始行和首部不同的是,主体中可以包含文本或二进制数据,也可以为空。
所有的 HTTP 报文都可以分为两类:请求 报文(request message)和响应报文(response message)。请求报文会向 Web 服务器请求一个动作。响应报文会将请求的结果返回给客户端。请求和响应报文的基本报文结构相同。
请求报文格式
<method> <request-URL> <version>
<headers>
<entity-body>
响应报文格式
<version> <status> <reason-phrase>
<headers>
<entity-body>
请求报文和响应报文的格式基本一致,它们只有起始行的语法有所不同。下面对请求报文和响应报文中各部分做一个描述。
起始行
所有的 HTTP 报文都以一个起始行作为开始。请求报文的起始行说明了要做些什么。响应报文的起始行说明发生了什么。
-
请求行
请求行包括了方法,url,以及http协议版本。这三个字段之间由空格符分隔。例如:POST /api/post HTTP/1.1这表示请求方法为 POST,请求 URL 为 /api/post,http协议的版本为1.1;请求方法用来告知服务器要做些什么,url是用来定位资源的位置,http版本将自己所遵循的协议版本告知对方,以便互相了解对方的能力和报文格式。
-
响应行
响应行包括了http协议版本,响应状态码以及原因短语。这三个字段之间由空格符分隔,例如:
HTTP/1.1 200 OK这表示http版本是1.1,响应状态码是200,原因短语是OK。响应状态码的作用是告诉客户端,发生了什么事情,而原因短语是为了更便于人们理解,所有的处理过程使用的都是响应状态码。
在http1.0之前,并不要求在请求行和响应行中包含http协议版本,现在应该没有web服务使用http1.0之前的协议了,我们平时几乎也见不到http1.0协议。
在起始行中,http版本形式是:
HTTP/<major>.<minor>
其中主要版本号(major)和次要版本号(minor)都是整数。现阶段主要使用的是HTTP/1.0,HTTP/1.1,HTTP/2
注意,版本号不会被当作小数来处理。版本中的每个数字(比如 HTTP/1.0 中的 1和 0)都会被当作一个单独的数字来处理。因此,在比较 HTTP 版本时,每个数字都必须单独进行比较,以便确定哪个版本更高。比如,HTTP/2.22 就比 HTTP/2.3 的版本要高,因为 22 比 3 大。
方法
方法用来告诉服务器执行什么动作,主要是http的设计者们把一切都抽象为资源,而方法就是对资源执行的动作。如果一台服务器要与 HTTP 1.1 兼容,那么只要为其资源实现 GET 方法和 HEAD 方法就可以了。http提供了一些方法,即使服务器实现了所有这些方法,某些方法的使用很可能也是受限的,这些是可以通过在服务器的配置中进行设置的。例如有的服务器只允许get,head,options以及post请求。
另外就是HTTP方法在报文中必须是大写的。
安全方法
HTTP 定义了一组被称为安全方法的方法。GET 方法和 HEAD 方法都被认为是安全的,这就意味着使用 GET 或 HEAD 方法的 HTTP 请求不会在服务器上产生修改资源的操作。但是这并不是一定的,因为web开发者也可以让GET方法修改资源,这是由开发者决定的。通常大多数开发者都是开发RESTful风格的api,GET方法不会产生修改资源的效果。
HTTP常见方法表
| http方法 | 作用 |
|---|---|
| GET | GET 是最常用的方法。通常用于请求服务器发送某个资源。HTTP/1.1 要求服务器实现此方法。通常用在获取资源的场景下。 |
| HEAD | HEAD 方法与 GET 方法的行为很类似,但服务器在响应中只返回首部。不会返回实体的主体部分。这就允许客户端在未获取实际资源的情况下,对资源的首部进行检查。服务器开发者必须确保返回的首部与 GET 请求所返回的首部完全相同。遵循HTTP/1.1 规范,就必须实现 HEAD 方法。 |
| PUT | PUT 方法的语义就是让服务器用请求的主体部分来创建一个由所请求的 URL 命名的新文档,或者,如果那个 URL 已经存在的话,就用这个主体来替代它。通常用在修改资源的场景下。 |
| POST | POST 方法是用来向服务器输入数据的,通常在新增资源的场景下使用。 |
| TRACE | 客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的 HTTP 请求。TRACE 方法允许客户端在最终将请求发送给服务器时,看看它变成了什么样子。TRACE 方法主要用于诊断;也就是说,用于验证请求是否如愿穿过了请求或者响应链。它也是一种很好的工具,可以用来查看代理和其他应用程序对用户请求所产生效果。TRACE 请求中不能带有实体的主体部分。TRACE 响应的实体主体部分包含了响应服务器收到的请求的精确副本。 |
| OPTIONS | OPTIONS 方法请求 Web 服务器告知其支持的各种功能。可以询问服务器通常支持哪些方法,或者对某些特殊资源支持哪些方法。这为客户端应用程序提供了一种手段,使其不用实际访问那些资源就能判定访问各种资源的最优方式。 |
| DELETE | DELETE 方法所做的事情就是请服务器删除请求 URL 所指定的资源。但是,客户端应用程序无法保证删除操作一定会被执行。因为 HTTP 规范允许服务器在不通知客户端的情况下撤销请求。 |
下图是trace请求的示例。
HTTP 被设计成字段可扩展的,这样新的特性就不会使老的软件失效了。扩展方法指的就是没有在 HTTP/1.1 规范中定义的方法。服务器会为它所管理的资源实现一些 HTTP 服务,这些方法为开发者提供了一种扩展这些 HTTP 服务能力的手段。通常情况下,我们是不会使用扩展方法的。
状态码
状态码为客户端提供了一种理解事务处理结果的便捷方式。尽管并没有实际的规范对原因短语的确切文本进行说明。HTTP 状态码被分成了五大类。
100~199——信息性状态码
HTTP/1.1 向协议中引入了信息性状态码,并已定义两个状态码。
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 100 | Continue | 说明收到了请求的初始部分,请客户端继续。发送了这个状态码之后,服务器在收到请求之后必须进行响应。 |
| 101 | Switching Protocols | 说明服务器正在根据客户端的指定,将协议切换成 Update 首部所列的协议 |
100 Continue 状态码尤其让人糊涂。它的目的是对这样的情况进行优化:HTTP 客户端应用程序有一个实体的主体部分要发送给服务器,但希望在发送之前查看一下服务器是否会接受这个实体。
如果客户端在向服务器发送一个实体,并且愿意在发送实体之前等待 100 Continue响应,那么,客户端就要发送一个携带了值为 100 Continue 的 Expect 请求首部如果客户端没有发送实体,就不应该发送 100 Continue Expect 首部,因为这样会使服务器误以为客户端要发送一个实体。
从很多方面来看,100 Continue 都是一种优化。客户端应用程序只有在避免向服务器发送一个服务器无法处理或使用的大实体时,才应该使用 100 Continue。
发送了值为 100 Continue 的 Expect 首部的客户端不应该永远在那儿等待服务器发送 100 Continue 响应。超时一定时间之后,客户端应该直接将实体发送出去。
如果服务器收到了一条带有值为 100 Continue 的 Expect 首部的请求,它会用 100 Continue 响应或一条错误码来进行响应。服务器永远也不应该向没有发送 100 Continue 期望的客户端发送 100 Continue 状态码。如果出于某种原因,服务器在有机会发送 100 Continue 响应之前就收到了部分(或全部)的实体,就说明客户端已经决定继续发送数据了,这样,服务器就不需要发送这个状态码了。但服务器读完请求之后,还是应该为请求发送一个最终状态码(它可以跳过 100 Continue 状态)。
200~299——成功状态码
客户端发起请求时,这些请求通常都是成功的。服务器有一组用来表示成功的状态码,分别对应于不同类型的请求。下面是已定义的成功状态码。
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 200 | OK | 请求没问题,实体的主体部分包含了所请求的资源 |
| 201 | Created | 用于创建服务器对象的请求(比如,PUT)。响应的实体主体部分中应该包含各种引用了已创建的资源的 URL,Location 首部包含的则是最具体的引用。服务器必须在发送这个状态码之前创建好对象 |
| 202 | Accepted | 请求已被接受,但服务器还未对其执行任何动作。不能保证服务器会完成这个请求;这只是意味着接受请求时,它看起来是有效的。服务器应该在实体的主体部分包含对请求状态的描述,或许还应该有对请求完成时间的估计(或者包含一个指针,指向可以获取此信息的位置) |
| 203 | Non-Authoritative Information | 实体首部包含的信息不是来自于源端服务器,而是来自资源的一份副本。如果中间节点上有一份资源副本,但无法或者没有对它所发送的与资源有关的元信息(首部)进行验证,就会出现这种情况。这种响应码并不是非用不可的;如果实体首部来自源端服务器,响应为 200 状态的应用程序就可以将其作为一种可选项使用 |
| 204 | No Content | 响应报文中包含若干首部和一个状态行,但没有实体的主体部分。主要用于在浏览器不转为显示新文档的情况下,对其进行更新(比如刷新一个表单页面) |
| 205 | Reset Content | 另一个主要用于浏览器的代码。负责告知浏览器清除当前页面中的所有 HTML 表单元素 |
| 206 | Partial Content | 成功执行了一个部分或 Range(范围)请求。稍后我们会看到,客户端可以通过一些特殊的首部来获取部分或某个范围内的文档——这个状态码就说明范围请求成功了。206 响应中必须包含 Content-Range、Date 以及 ETag 或 ContentLocation 首部 |
300~399——重定向状态码
重定向状态码要么告知客户端使用替代位置来访问他们所感兴趣的资源,要么就提供一个替代的响应而不是资源的内容。如果资源已被移动,可发送一个重定向状态码和一个可选的 Location 首部来告知客户端资源已被移走,以及现在可以在哪里找到它。这样,浏览器就可以在不打扰使用者的情况下,透明地转入新的位置了。
可以通过某些重定向状态码对资源的应用程序本地副本与源端服务器上的资源进行验证。比如,HTTP 应用程序可以查看其资源的本地副本是否仍然是最新的,或者在源端服务器上资源是否被修改过。下图显示了一个这样的例子。客户端发送了一个特殊的 If-Modified-Since 首部,说明只读取 1997 年 10 月之后修改过的文档。这个日期之后,此文档并未被修改过,因此,服务器回送了一个 304 状态码,而不是文档的内容。
在对那些包含了重定向状态码的非 HEAD 请求进行响应时,最好要包含一个实体,并在实体中包含描述信息和指向(多个)重定向 URL 的链接。下表列出了已定义的重定向状态码。
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 300 | Multiple Choices | 客户端请求一个实际指向多个资源的 URL 时会返回这个状态码,比如服务器上有某个 HTML 文档的英语和法语版本。返回这个代码时会带有一个选项列表;这样用户就可以选择他希望使用的那一项了。有多个版本可用时,客户端需要沟通解决,服务器可以在 Location 首部包含首选 URL |
| 301 | Moved Permanently | 在请求的 URL 已被移除时使用。响应的 Location 首部中应该包含资源现在所处的 URL |
| 302 | Found | 与 301 状态码类似;但是,客户端应该使用 Location 首部给出的URL 来临时定位资源。将来的请求仍应使用老的 URL |
| 303 | See Other | 告知客户端应该用另一个 URL 来获取资源。新的 URL 位于响应报文的 Location 首部。其主要目的是允许 POST 请求的响应将客户端定向到某个资源上去 |
| 304 | Not Modified | 客户端可以通过所包含的请求首部,使其请求变成有条件的。如果客户端发起了一个条件 GET请求,而最近资源未被修改的话,就可以用这个状态码来说明资源未被修改。带有这个状态码的响应不应该包含实体的主体部分 |
| 305 | Use Proxy | 用来说明必须通过一个代理来访问资源;代理的位置由 Location首部给出。很重要的一点是,客户端是相对某个特定资源来解析这条响应的,不能假定所有请求,甚至所有对持有所请求资源的服务器的请求都通过这个代理进行。如果客户端错误地让代理介入了某条请求,可能会引发破坏性的行为,而且会造成安全漏洞 |
| 306 | 当前未使用 | 当前未使用 |
| 307 | Temporary Redirect | 与 301 状态码类似;但客户端应该使用 Location 首部给出的 URL来临时定位资源。将来的请求应该使用老的URL |
302、303 和 307 状态码之间存在一些交叉。这些状态码的用法有着细微的差别,大部分差别都源于 HTTP/1.0 和 HTTP/1.1 应用程序对这些状态码处理方式的不同。
当 HTTP/1.0 客户端发起一个 POST 请求,并在响应中收到 302 重定向状态码时,它会接受 Location 首部的重定向 URL,并向那个 URL 发起一个 GET 请求(而不会像原始请求中那样发起 POST 请求)。
HTTP/1.0 服务器希望 HTTP/1.0 客户端这么做——如果 HTTP/1.0 服务器收到来自HTTP/1.0 客户端的 POST 请求之后发送了 302 状态码,服务器就期望客户端能够接受重定向 URL,并向重定向的 URL 发送一个 GET 请求。
问题出在 HTTP/1.1。HTTP/1.1 规范使用 303 状态码来实现同样的行为(服务器发送 303 状态码来重定向客户端的 POST 请求,在它后面跟上一个 GET 请求)。为了避开这个问题,HTTP/1.1 规范指出,对于 HTTP/1.1 客户端,用 307 状态码取代 302 状态码来进行临时重定向。这样服务器就可以将 302 状态码保留起来,为HTTP/1.0 客户端使用了。这样一来,服务器要选择适当的重定向状态码放入重定向响应中发送,就需要查看客户端的 HTTP 版本了。
400~499——客户端错误状态码
有时客户端会发送一些服务器无法处理的东西,比如格式错误的请求报文,或者最常见的是,请求一个不存在的 URL。
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 400 | Bad Request | 用于告知客户端它发送了一个错误的请求 |
| 401 | Unauthorized | 与适当的首部一同返回,在这些首部中请求客户端在获取对资源的访问权之前,对自己进行认证。 |
| 402 | Payment Required | 现在这个状态码还未使用,但已经被保留,以作未来之用 |
| 403 | Forbidden | 用于说明请求被服务器拒绝了。如果服务器想说明为什么拒绝请求,可以包含实体的主体部分来对原因进行描述。但这个状态码通常是在服务器不想说明拒绝原因的时候使用的 |
| 404 | Not Found | 用于说明服务器无法找到所请求的 URL。通常会包含一个实体,以便客户端应用程序显示给用户看 |
| 405 | Method Not Allowed | 发起的请求中带有所请求的 URL 不支持的方法时,使用此状态码。应该在响应中包含 Allow 首部,以告知客户端对所请求的资源可以使用哪些方法。 |
| 406 | Not Acceptable | 客户端可以指定参数来说明它们愿意接收什么类型的实体。服务器没有与客户端可接受的 URL 相匹配的资源时,使用此代码。通常,服务器会包含一些首部,以便客户端弄清楚为什么请求无法满足。 |
| 407 | Proxy Authentication Required | 与 401 状态码类似,但用于要求对资源进行认证的代理服务器 |
| 408 | Request Timeout | 如果客户端完成请求所花的时间太长,服务器可以回送此状态码,并关闭连接。超时时长随服务器的不同有所不同,但通常对所有的合法请求来说,都是够长的 |
| 409 | Conflict | 用于说明请求可能在资源上引发的一些冲突。服务器担心请求会引发冲突时,可以发送此状态码。响应中应该包含描述冲突的主体 |
| 410 | Gone | 与 404 类似,只是服务器曾经拥有过此资源。主要用于 Web 站点的维护,这样服务器的管理者可以在资源被移除的情况下通知客户端了 |
| 411 | Length Required | 服务器要求在请求报文中包含 Content-Length 首部时使用。 |
| 412 | Precondition Failed | 客户端发起了条件请求,且其中一个条件失败了的时候使用。客户端包含了 Expect 首部时发起的就是条件请求。 |
| 413 | Request Entity Too Large | 客户端发送的实体主体部分比服务器能够或者希望处理的要大时,使用此状态码 |
| 414 | Request URI Too Long | 客户端所发请求中的请求 URL 比服务器能够或者希望处理的要长时,使用此状态码 |
| 415 | Unsupported Media Type | 服务器无法理解或无法支持客户端所发实体的内容类型时,使用此状态码 |
| 416 | Requested Range Not Satisfiable | 请求报文所请求的是指定资源的某个范围,而此范围无效或无法满足时,使用此状态码 |
| 417 | Expectation Failed | 请求的 Expect 请求首部包含了一个期望,但服务器无法满足此期望时,使用此状态码。如果代理或其他中间应用程序有确切证据说明源端服务器会为某请求产生一个失败的期望,就可以发送这个响应状态码 |
500~599——服务器错误状态码
有时客户端发送了一条有效请求,服务器自身却出错了。这可能是客户端碰上了服务器的缺陷,或者服务器上的子元素,比如某个网关资源,出了错。
| 状态码 | 原因短语 | 含义 |
|---|---|---|
| 500 | Internal Server Error | 服务器遇到一个妨碍它为请求提供服务的错误时,使用此状态码 |
| 501 | Not Implemented | 客户端发起的请求超出服务器的能力范围 |
| 502 | Bad Gateway | 作为代理或网关使用的服务器从请求响应链的下一条链路上收到了一条伪响应(比如,它无法连接到其父网关)时,使用此状态码 |
| 503 | Service Unavailable | 用来说明服务器现在无法为请求提供服务,但将来可以。如果服务器知道什么时候资源会变为可用的,可以在响应中包含一个 RetryAfter 首部。 |
| 504 | Gateway Timeout | 与状态码 408 类似,只是这里的响应来自一个网关或代理,它们在等待另一服务器对其请求进行响应时超时了 |
| 505 | HTTP Version Not Supported | 服务器收到的请求使用了它无法或不愿支持的协议版本时,使用此状态码。有些服务器应用程序会选择不支持协议的早期版本 |
URL
关于URL,请阅读这篇URL语法,编码以及未来的可能性文章。这里有对URL相关内容非常详细的描述。
HTTP版本
在前文介绍过了http的版本的形式,但是对于现在主要使用的两个版本http1.1和http2,我们并没有详细介绍其连接管理,特性这部分内容,关于http1.1和http2,请阅读文章http1.1和http2
HTTP头(首部)
HTTP 首部字段向请求和响应报文中添加了一些附加信息。本质上来说,它们只是一些键值对的列表。
每个 HTTP 首部都有一种简单的语法:名字后面跟着冒号( :),然后跟上可选的空格,再跟上字段值,最后是一个 CRLF。(非标准的http报文后面可能只包含\n,而不包含\r)
首部和方法配合工作,共同决定了客户端和服务器能做什么事情。在请求和响应报文中都可以用首部来提供信息,有些首部是某种报文专用的,有些首部则更通用一些。可以将首部分为五个主要的类型。
通用首部
这些是客户端和服务器都可以使用的通用首部。可以在客户端、服务器和其他应用程序之间提供一些非常有用的通用功能。
| 首部 | 描述 |
|---|---|
| Connection | 允许客户端和服务器指定与请求 / 响应连接有关的选项 |
| Date5 | 提供日期和时间标志,说明报文是什么时间创建的 |
| MIME-Version | 给出了发送端使用的 MIME 版本 |
| Trailer | 如果报文采用了分块传输编码(chunked transfer encoding)方式,就可以用这个首部列出位于报文拖挂(trailer)部分的首部集合 |
| Transfer-Encoding | 告知接收端为了保证报文的可靠传输,对报文采用了什么编码方式 |
| Update | 给出了发送端可能想要“升级”使用的新版本或协议 |
| Via | 显示了报文经过的中间节点(代理、网关) |
| Cache-Control | 用于随报文传送缓存指示 |
| Pragma | 另一种随报文传送指示的方式,但并不专用于缓存 |
从技术角度来看,Pragma 是一种请求首部。从未被指定用于响应首部。由于经常被错误地用于响应首部,很多客户端和代理都会将 Pragma 解释为响应首部,但其确切语义并未得到很好地定义。任何情况下 Cache-Control 的使用都优于 Pragma。
请求首部
从名字中就可以看出,请求首部是请求报文特有的。它们为服务器提供了一些额外信息,比如客户端希望接收什么类型的数据。
| 首部 | 描述 |
|---|---|
| Client-IP | 提供了运行客户端的机器的 IP 地址 |
| From | 提供了客户端用户的 E-mail 地址 |
| Host | 给出了接收请求的服务器的主机名和端口号 |
| Referer | 提供了包含当前请求 URI 的文档的 URL |
| UA-Color | 提供了与客户端显示器的显示颜色有关的信息 |
| UA-CPU10 | 给出了客户端 CPU 的类型或制造商 |
| UA-Disp | 提供了与客户端显示器(屏幕)能力有关的信息 |
| UA-OS | 给出了运行在客户端机器上的操作系统名称及版本 |
| UA-Pixels | 提供了客户端显示器的像素信息 |
| User-Agent | 将发起请求的应用程序名称告知服务器 |
| Accept | 告诉服务器能够发送哪些媒体类型 |
| Accept-Charset | 告诉服务器能够发送哪些字符集 |
| Accept-Encoding | 告诉服务器能够发送哪些编码方式 |
| Accept-Language | 告诉服务器能够发送哪些语言 |
| TE | 告诉服务器可以使用哪些扩展传输编码 |
| Expect | 允许客户端列出某请求所要求的服务器行为 |
| If-Match | 如果实体标记与文档当前的实体标记相匹配,就获取这份文档 |
| If-Modified-Since | 除非在某个指定的日期之后资源被修改过,否则就限制这个请求 |
| If-None-Match | 如果提供的实体标记与当前文档的实体标记不相符,就获取文档 |
| If-Range | 允许对文档的某个范围进行条件请求 |
| If-Unmodified-Since | 除非在某个指定日期之后资源没有被修改过,否则就限制这个请求 |
| Range | 如果服务器支持范围请求,就请求资源的指定范围 |
| Authorization | 包含了客户端提供给服务器,以便对其自身进行认证的数据 |
| Cookie | 客户端用它向服务器传送一个令牌——它并不是真正的安全首部,但确实隐含了安全功能 |
| Cookie2 | 用来说明请求端支持的 cookie 版本 |
| Max-Forward | 在通往源端服务器的路径上,将请求转发给其他代理或网关的最大次数——与 TRACE 方法一同使用 |
| Proxy-Authorization | 与 Authorization 首部相同,但这个首部是在与代理进行认证时使用的 |
| Proxy-Connection | 与 Connection 首部相同,但这个首部是在与代理建立连接时使用的 |
RFC 2616 没有定义 Client-IP 和 UA-* 首部,但很多 HTTP 客户端应用程序都实现了这两个首部。
Accept 相关的首部为客户端提供了一种将其喜好和能力告知服务器的方式,包括它们想要什么,可以使用什么,以及最重要的,它们不想要什么。这样,服务器就可以根据这些额外信息,对要发送的内容做出更明智的决定。Accept 首部会使连接的两端都受益。客户端会得到它们想要的内容,服务器则不会浪费其时间和带宽来发送客户端无法使用的东西。
有时客户端希望为请求加上某些限制。比如,如果客户端已经有了一份文档副本,就希望只在服务器上的文档与客户端拥有的副本有所区别时,才请求服务器传输文档。通过条件请求首部,客户端就可以为请求加上这种限制,要求服务器在对请求进行响应之前,确保某个条件为真。
HTTP 本身就支持一种简单的机制,可以对请求进行质询 / 响应认证。这种机制要求客户端在获取特定的资源之前,先对自身进行认证,这样就可以使事务稍微安全一些。
响应首部
响应报文有自己的响应首部集。响应首部为客户端提供了一些额外信息,比如谁在发送响应、响应者的功能,甚至与响应相关的一些特殊指令。这些首部有助于客户端处理响应,并在将来发起更好的请求。
| 首部 | 描述 |
|---|---|
| Age | (从最初创建开始)响应持续时间 |
| Public | 服务器为其资源支持的请求方法列表 |
| Retry-After | 如果资源不可用的话,在此日期或时间重试 |
| Server | 服务器应用程序软件的名称和版本 |
| Title | 对 HTML 文档来说,就是 HTML 文档的源端给出的标题 |
| Warning | 比原因短语中更详细一些的警告报文 |
| Accept-Ranges | 对此资源来说,服务器可接受的范围类型 |
| Vary | 服务器查看的其他首部的列表,可能会使响应发生变化;也就是说,这是一个首部列表,服务器会根据这些首部的内容挑选出最适合的资源版本发送给客户端 |
| Proxy-Authenticate | 来自代理的对客户端的质询列表 |
| Set-Cookie | 不是真正的安全首部,但隐含有安全功能;可以在客户端设置一个令牌,以便服务器对客户端进行标识 |
| Set-Cookie2 | 与 Set-Cookie 类似 |
| WWW-Authenticate | 来自服务器的对客户端的质询列表 |
实体首部
实体首部指的是用于应对实体主体部分的首部。比如,可以用实体首部来说明实体主体部分的数据类型。实体首部提供了有关实体及其内容的大量信息,从有关对象类型的信息,到能够对资源使用的各种有效的请求方法。总之,实体首部可以告知报文的接收者它在对什么进行处理。
| 首部 | 描述 |
|---|---|
| Allow | 列出了可以对此实体执行的请求方法 |
| Location | 告知客户端实体实际上位于何处;用于将接收端定向到资源的(可能是新的)位置(URL)上去 |
| Content-Base | 解析主体中的相对 URL 时使用的基础 URL |
| Content-Encoding | 对主体执行的任意编码方式 |
| Content-Language | 理解主体时最适宜使用的自然语言 |
| Content-Length | 主体的长度或尺寸 |
| Content-Location | 资源实际所处的位置 |
| Content-MD5 | 主体的 MD5 校验和 |
| Content-Range | 在整个资源中此实体表示的字节范围 |
| Content-Type | 这个主体的对象类型 |
| ETag | 与此实体相关的实体标记 |
| Expires | 实体不再有效,要从原始的源端再次获取此实体的日期和时间 |
| Last-Modified | 这个实体最后一次被修改的日期和时间 |
扩展首部
扩展首部是非标准的首部,由应用程序开发者创建,但还未添加到已批准的HTTP 规范中去。即使不知道这些扩展首部的含义,HTTP 程序也要接受它们并对其进行转发。
HTTP Body (主体部分)
HTTP 报文的第三部分是可选的实体主体部分。实体的主体是 HTTP 报文的负荷。就是 HTTP 要传输的内容。最初的HTTP报文只能被客户程序解释为超文本标记语言HTML 文档。后来HTTP通过给每种Web 传输的对象都打上了名为 MIME 类型(MIME type)的数据格式标签的方式来承载非常多的数据类型。
最初设计 MIME(Multipurpose Internet Mail Extension,多用途因特网邮件扩展)是为了解决在不同的电子邮件系统之间搬移报文时存在的问题。MIME 在电子邮件系统中工作得非常好,因此 HTTP 也采纳了它,用它来描述并标记多媒体内容。现在的HTTP 报文可以承载很多类型的数字数据:图片、视频、HTML 文档、软件应用程序、信用卡事务、电子邮件等。
参考资料
《HTTP权威指南》
扫一扫
1051
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
