1xx消息[编辑]
这一类型的状态码,代表请求已被接受,需要继续处理。这类响应是临时响应,只包含状态行和某些可选的响应头信息,并以空行结束。由于HTTP/1.0协议中没有定义任何1xx状态码,所以除非在某些试验条件下,服务器禁止向此类客户端发送1xx响应。 这些状态码代表的响应都是信息性的,标示客户应该采取的其他行动。
-
100 Continue
- 客户端应当继续发送请求。这个临时响应是用来通知客户端它的部分请求已经被服务器接收,且仍未被拒绝。客户端应当继续发送请求的剩余部分,或者如果请求已经完成,忽略这个响应。服务器必须在请求完成后向客户端发送一个最终响应。
-
101 Switching Protocols
- 服务器已经理解了客户端的请求,并将通过Upgrade消息头通知客户端采用不同的协议来完成这个请求。在发送完这个响应最后的空行后,服务器将会切换到在Upgrade消息头中定义的那些协议。
- 只有在切换新的协议更有好处的时候才应该采取类似措施。例如,切换到新的HTTP版本(如 HTTP/2)比旧版本更有优势,或者切换到一个实时且同步的协议以传送利用此类特性的资源。
2xx成功[编辑]
这一类型的状态码,代表请求已成功被服务器接收、理解、并接受。
-
200 OK
- 请求已成功,请求所希望的响应头或数据体将随此响应返回。
-
201 Created
- 请求已经被实现,而且有一个新的资源已经依据请求的需要而创建,且其 URI已经随Location头信息返回。假如需要的资源无法及时创建的话,应当返回' 202 Accepted'。
-
202 Accepted
- 服务器已接受请求,但尚未处理。正如它可能被拒绝一样,最终该请求可能会也可能不会被执行。在异步操作的场合下,没有比发送这个状态码更方便的做法了。
- 返回202状态码的响应的目的是允许服务器接受其他过程的请求(例如某个每天只执行一次的基于 批处理的操作),而不必让客户端一直保持与服务器的连接直到批处理操作全部完成。在接受请求处理并返回202状态码的响应应当在返回的实体中包含一些指示处理当前状态的信息,以及指向处理状态监视器或状态预测的指针,以便用户能够估计操作是否已经完成。
-
203 Non-Authoritative Information
- 服务器已成功处理了请求,但返回的实体头部元信息不是在原始服务器上有效的确定集合,而是来自本地或者第三方的拷贝。当前的信息可能是原始版本的子集或者超集。例如,包含资源的 元数据可能导致原始服务器知道元信息的超集。使用此状态码不是必须的,而且只有在响应不使用此状态码便会返回 200 OK的情况下才是合适的。
-
204 No Content
- 服务器成功处理了请求,但不需要返回任何实体内容,并且希望返回更新了的元信息。响应可能通过实体头部的形式,返回新的或更新后的元信息。如果存在这些头部信息,则应当与所请求的变量相呼应。
- 如果客户端是 浏览器的话,那么用户浏览器应保留发送了该请求的页面,而不产生任何文档视图上的变化,即使按照规范新的或更新后的元信息应当被应用到用户浏览器活动视图中的文档。
- 由于204响应被禁止包含任何消息体,因此它始终以消息头后的第一个空行结尾。
-
205 Reset Content
- 服务器成功处理了请求,且没有返回任何内容。但是与 204响应不同,返回此状态码的响应要求请求者重置文档视图。该响应主要是被用于接受用户输入后,立即重置表单,以便用户能够轻松地开始另一次输入。
- 与204响应一样,该响应也被禁止包含任何消息体,且以消息头后的第一个空行结束。
-
206 Partial Content
- 服务器已经成功处理了部分GET请求。类似于 FlashGet或者 迅雷这类的HTTP 下载工具都是使用此类响应实现断点续传或者将一个大文档分解为多个下载段同时下载。
- 该请求必须包含Range头信息来指示客户端希望得到的内容范围,并且可能包含If-Range来作为请求条件。
-
响应必须包含如下的头部域:
- Content-Range用以指示本次响应中返回的内容的范围;如果是Content-Type为multipart/byteranges的多段下载,则每一multipart段中都应包含Content-Range域用以指示本段的内容范围。假如响应中包含Content-Length,那么它的数值必须匹配它返回的内容范围的真实字节数。
- Date
- ETag和/或Content-Location,假如同样的请求本应该返回200响应。
- Expires, Cache-Control,和/或Vary,假如其值可能与之前相同变量的其他响应对应的值不同的话。
- 假如本响应请求使用了If-Range强缓存验证,那么本次响应不应该包含其他实体头;假如本响应的请求使用了If-Range弱缓存验证,那么本次响应禁止包含其他实体头;这避免了缓存的实体内容和更新了的实体头信息之间的不一致。否则,本响应就应当包含所有本应该返回200响应中应当返回的所有实体头部域。
- 假如ETag或Last-Modified头部不能精确匹配的话,则客户端 缓存应禁止将206响应返回的内容与之前任何缓存过的内容组合在一起。
- 任何不支持Range以及Content-Range头的缓存都禁止缓存206响应返回的内容。
3xx重定向[编辑]
这类状态码代表需要客户端采取进一步的操作才能完成请求。通常,这些状态码用来重定向,后续的请求地址(重定向目标)在本次响应的Location域中指明。
当且仅当后续的请求所使用的方法是GET或者HEAD时,用户浏览器才可以在没有用户介入的情况下自动提交所需要的后续请求。客户端应当自动监测无限循环重定向(例如:A→B→C→……→A或A→A),因为这会导致服务器和客户端大量不必要的资源消耗。按照HTTP/1.0版规范的建议,浏览器不应自动访问超过5次的重定向。
-
300 Multiple Choices
- 被请求的资源有一系列可供选择的回馈信息,每个都有自己特定的地址和浏览器驱动的商议信息。用户或浏览器能够自行选择一个首选的地址进行重定向。
- 除非这是一个HEAD请求,否则该响应应当包括一个资源特性及地址的列表的实体,以便用户或浏览器从中选择最合适的重定向地址。这个实体的格式由Content-Type定义的格式所决定。浏览器可能根据响应的格式以及浏览器自身能力,自动作出最合适的选择。当然,RFC 2616规范并没有规定这样的自动选择该如何进行。
- 如果服务器本身已经有了首选的回馈选择,那么在Location中应当指明这个回馈的 URI;浏览器可能会将这个Location值作为自动重定向的地址。此外,除非额外指定,否则这个响应也是可缓存的。
-
301 Moved Permanently
- 被请求的资源已永久移动到新位置,并且将来任何对此资源的引用都应该使用本响应返回的若干个URI之一。如果可能,拥有链接编辑功能的客户端应当自动把请求的地址修改为从服务器反馈回来的地址。除非额外指定,否则这个响应也是可缓存的。
- 新的永久性的URI应当在响应的Location域中返回。除非这是一个HEAD请求,否则响应的实体中应当包含指向新的URI的 超链接及简短说明。
- 如果这不是一个GET或者HEAD请求,因此浏览器禁止自动进行重定向,除非得到用户的确认,因为请求的条件可能因此发生变化。
- 注意:对于某些使用HTTP/1.0协议的浏览器,当它们发送的POST请求得到了一个301响应的话,接下来的重定向请求将会变成GET方式。
-
302 Found
- 请求的资源现在临时从不同的URI响应请求。由于这样的重定向是临时的,客户端应当继续向原有地址发送以后的请求。只有在Cache-Control或Expires中进行了指定的情况下,这个响应才是可缓存的。
- 新的临时性的URI应当在响应的Location域中返回。除非这是一个HEAD请求,否则响应的实体中应当包含指向新的URI的超链接及简短说明。
- 如果这不是一个GET或者HEAD请求,那么浏览器禁止自动进行重定向,除非得到用户的确认,因为请求的条件可能因此发生变化。
- 注意:虽然RFC 1945和RFC 2068规范不允许客户端在重定向时改变请求的方法,但是很多现存的浏览器将302响应视作为 303响应,并且使用GET方式访问在Location中规定的URI,而无视原先请求的方法。状态码303和 307被添加了进来,用以明确服务器期待客户端进行何种反应。
-
303 See Other
- 对应当前请求的响应可以在另一个URI上被找到,而且客户端应当采用GET的方式访问那个资源。这个方法的存在主要是为了允许由脚本激活的POST请求输出重定向到一个新的资源。这个新的URI不是原始资源的替代引用。同时,303响应禁止被缓存。当然,第二个请求(重定向)可能被缓存。
- 新的URI应当在响应的Location域中返回。除非这是一个HEAD请求,否则响应的实体中应当包含指向新的URI的超链接及简短说明。
- 注意:许多HTTP/1.1版以前的浏览器不能正确理解303状态。如果需要考虑与这些浏览器之间的互动, 302状态码应该可以胜任,因为大多数的浏览器处理302响应时的方式恰恰就是上述规范要求客户端处理303响应时应当做的。
-
304 Not Modified
- 如果客户端发送了一个带条件的GET请求且该请求已被允许,而文档的内容(自上次访问以来或者根据请求的条件)并没有改变,则服务器应当返回这个状态码。304响应禁止包含消息体,因此始终以消息头后的第一个空行结尾。
- 该响应必须包含以下的头信息:
- 假如本响应请求使用了强缓存验证,那么本次响应不应该包含其他实体头;否则(例如,某个带条件的GET请求使用了弱缓存验证),本次响应禁止包含其他实体头;这避免了缓存了的实体内容和更新了的实体头信息之间的不一致。
- 假如某个304响应指明了当前某个实体没有缓存,那么缓存系统必须忽视这个响应,并且重复发送不包含限制条件的请求。
- 假如接收到一个要求更新某个缓存条目的304响应,那么缓存系统必须更新整个条目以反映所有在响应中被更新的字段的值。
-
305 Use Proxy
- 被请求的资源必须通过指定的代理才能被访问。Location域中将给出指定的代理所在的URI信息,接收者需要重复发送一个单独的请求,通过这个代理才能访问相应资源。只有原始服务器才能创建305响应。
- 注意:RFC 2068中没有明确305响应是为了重定向一个单独的请求,而且只能被原始服务器创建。忽视这些限制可能导致严重的安全后果。
-
306 Switch Proxy
- 在最新版的规范中,306状态码已经不再被使用。
-
307 Temporary Redirect
- 请求的资源现在临时从不同的URI响应请求。由于这样的重定向是临时的,客户端应当继续向原有地址发送以后的请求。只有在Cache-Control或Expires中进行了指定的情况下,这个响应才是可缓存的。
- 新的临时性的URI应当在响应的Location域中返回。除非这是一个HEAD请求,否则响应的实体中应当包含指向新的URI的超链接及简短说明。因为部分浏览器不能识别307响应,因此需要添加上述必要信息以便用户能够理解并向新的URI发出访问请求。
- 如果这不是一个GET或者HEAD请求,那么浏览器禁止自动进行重定向,除非得到用户的确认,因为请求的条件可能因此发生变化。
4xx客户端错误[编辑]
这类的状态码代表了客户端看起来可能发生了错误,妨碍了服务器的处理。除非响应的是一个HEAD请求,否则服务器就应该返回一个解释当前错误状况的实体,以及这是临时的还是永久性的状况。这些状态码适用于任何请求方法。浏览器应当向用户显示任何包含在此类错误响应中的实体内容。
如果错误发生时客户端正在传送数据,那么使用TCP的服务器实现应当仔细确保在关闭客户端与服务器之间的连接之前,客户端已经收到了包含错误信息的数据包。如果客户端在收到错误信息后继续向服务器发送数据,服务器的TCP栈将向客户端发送一个重置数据包,以清除该客户端所有还未识别的输入缓冲,以免这些数据被服务器上的应用程序读取并干扰后者。
-
400 Bad Request
- 由于包含 语法错误,当前请求无法被服务器理解。除非进行修改,否则客户端不应该重复提交这个请求。
-
401 Unauthorized
- 当前请求需要用户验证。该响应必须包含一个适用于被请求资源的WWW-Authenticate信息头用以询问用户信息。客户端可以重复提交一个包含恰当的Authorization头信息的请求。如果当前请求已经包含了Authorization证书,那么401响应代表着服务器验证已经拒绝了那些证书。如果401响应包含了与前一个响应相同的身份验证询问,且浏览器已经至少尝试了一次验证,那么浏览器应当向用户展示响应中包含的实体信息,因为这个实体信息中可能包含了相关诊断信息。参见RFC 2617。
-
402 Payment Required
- 该状态码是为了将来可能的需求而预留的。
-
403 Forbidden
- 服务器已经理解请求,但是拒绝执行它。与 401响应不同的是,身份验证并不能提供任何帮助,而且这个请求也不应该被重复提交。如果这不是一个HEAD请求,而且服务器希望能够讲清楚为何请求不能被执行,那么就应该在实体内描述拒绝的原因。当然服务器也可以返回一个 404响应,假如它不希望让客户端获得任何信息。
-
404 Not Found
- 请求失败,请求所希望得到的资源未被在服务器上发现。没有信息能够告诉用户这个状况到底是暂时的还是永久的。假如服务器知道情况的话,应当使用 410状态码来告知旧资源因为某些内部的配置机制问题,已经永久的不可用,而且没有任何可以跳转的地址。404这个状态码被广泛应用于当服务器不想揭示到底为何请求被拒绝或者没有其他适合的响应可用的情况下。
-
405 Method Not Allowed
- 请求行中指定的请求方法不能被用于请求相应的资源。该响应必须返回一个Allow头信息用以表示出当前资源能够接受的请求方法的列表。
- 鉴于PUT,DELETE方法会对服务器上的资源进行写操作,因而绝大部分的 网页服务器都不支持或者在默认配置下不允许上述请求方法,对于此类请求均会返回405错误。
-
406 Not Acceptable
- 请求的资源的内容特性无法满足请求头中的条件,因而无法生成响应实体。
- 除非这是一个HEAD请求,否则该响应就应当返回一个包含可以让用户或者浏览器从中选择最合适的实体特性以及地址列表的实体。实体的格式由Content-Type头中定义的媒体类型决定。浏览器可以根据格式及自身能力自行作出最佳选择。但是,规范中并没有定义任何作出此类自动选择的标准。
-
407 Proxy Authentication Required
- 与 401响应类似,只不过客户端必须在代理服务器上进行身份验证。代理服务器必须返回一个Proxy-Authenticate用以进行身份询问。客户端可以返回一个Proxy-Authorization信息头用以验证。参见RFC 2617。
-
408 Request Timeout
- 请求超时。客户端没有在服务器预备等待的时间内完成一个请求的发送。客户端可以随时再次提交这一请求而无需进行任何更改。
-
409 Conflict
- 由于和被请求的资源的当前状态之间存在冲突,请求无法完成。这个代码只允许用在这样的情况下才能被使用:用户被认为能够解决冲突,并且会重新提交新的请求。该响应应当包含足够的信息以便用户发现冲突的源头。
- 冲突通常发生于对PUT请求的处理中。例如,在采用版本检查的环境下,某次PUT提交的对特定资源的修改请求所附带的版本信息与之前的某个(第三方)请求向冲突,那么此时服务器就应该返回一个409错误,告知用户请求无法完成。此时,响应实体中很可能会包含两个 冲突版本之间的差异比较,以便用户重新提交 归并以后的新版本。
-
410 Gone
- 被请求的资源在服务器上已经不再可用,而且没有任何已知的转发地址。这样的状况应当被认为是永久性的。如果可能,拥有链接编辑功能的客户端应当在获得用户许可后删除所有指向这个地址的引用。如果服务器不知道或者无法确定这个状况是否是永久的,那么就应该使用 404状态码。除非额外说明,否则这个响应是可缓存的。
- 410响应的目的主要是帮助网站管理员维护网站,通知用户该资源已经不再可用,并且服务器拥有者希望所有指向这个资源的远端连接也被删除。这类事件在限时、增值服务中很普遍。同样,410响应也被用于通知客户端在当前服务器站点上,原本属于某个个人的资源已经不再可用。当然,是否需要把所有永久不可用的资源标记为'410 Gone',以及是否需要保持此标记多长时间,完全取决于服务器拥有者。
-
411 Length Required
- 服务器拒绝在没有定义Content-Length头的情况下接受请求。在添加了表明请求消息体长度的有效Content-Length头之后,客户端可以再次提交该请求。
-
412 Precondition Failed
- 服务器在验证在请求的头字段中给出先决条件时,没能满足其中的一个或多个。这个状态码允许客户端在获取资源时在请求的元信息(请求头字段数据)中设置先决条件,以此避免该请求方法被应用到其希望的内容以外的资源上。
-
413 Request Entity Too Large
- 服务器拒绝处理当前请求,因为该请求提交的实体数据大小超过了服务器愿意或者能够处理的范围。此种情况下,服务器可以关闭连接以免客户端继续发送此请求。
- 如果这个状况是临时的,服务器应当返回一个Retry-After的响应头,以告知客户端可以在多少时间以后重新尝试。
-
414 Request-URI Too Long
-
请求的URI长度超过了服务器能够解释的长度,因此服务器拒绝对该请求提供服务。这比较少见,通常的情况包括:
- 本应使用POST方法的表单提交变成了GET方法,导致查询字符串(Query String)过长。
- 重定向URI“黑洞”,例如每次重定向把旧的URI作为新的URI的一部分,导致在若干次重定向后URI超长。
- 客户端正在尝试利用某些服务器中存在的安全漏洞攻击服务器。这类服务器使用固定长度的缓冲读取或操作请求的URI,当GET后的参数超过某个数值后,可能会产生缓冲区溢出,导致任意代码被执行[1]。没有此类漏洞的服务器,应当返回414状态码。
-
415 Unsupported Media Type
- 对于当前请求的方法和所请求的资源,请求中提交的实体并不是服务器中所支持的格式,因此请求被拒绝。
-
416 Requested Range Not Satisfiable
- 如果请求中包含了Range请求头,并且Range中指定的任何数据范围都与当前资源的可用范围不重合,同时请求中又没有定义If-Range请求头,那么服务器就应当返回416状态码。
- 假如Range使用的是字节范围,那么这种情况就是指请求指定的所有数据范围的首字节位置都超过了当前资源的长度。服务器也应当在返回416状态码的同时,包含一个Content-Range实体头,用以指明当前资源的长度。这个响应也被禁止使用multipart/byteranges作为其Content-Type。
-
417 Expectation Failed
- 在请求头Expect中指定的预期内容无法被服务器满足,或者这个服务器是一个代理服务器,它有明显的证据证明在当前 路由的下一个节点上,Expect的内容无法被满足。
-
418 I'm a teapot
- 本操作码是在1998年作为 IETF的传统 愚人节笑话, 在RFC 2324 超文本咖啡壶控制协议中定义的,并不需要在真实的HTTP服务器中定义。当一个控制茶壶的 HTCPCP收到BREW或POST指令要求其煮咖啡时应当回传此错误。
-
421 There are too many connections from your internet address
- 从当前客户端所在的 IP地址到服务器的连接数超过了服务器许可的最大范围。通常,这里的IP地址指的是从服务器上看到的客户端地址(比如用户的 网关或者 代理服务器地址)。在这种情况下,连接数的计算可能涉及到不止一个 终端用户。
-
425 Unordered Collection
- 在 WebDav Advanced Collections草案中定义,但是未出现在《WebDAV顺序集协议》( RFC 3658)中。
-
449 Retry With
- 由 微软扩展,代表请求应当在执行完适当的操作后进行重试。
5xx服务器错误[编辑]
这类状态码代表了服务器在处理请求的过程中有错误或者异常状态发生,也有可能是服务器意识到以当前的软硬件资源无法完成对请求的处理。除非这是一个HEAD请求,否则服务器应当包含一个解释当前错误状态以及这个状况是临时的还是永久的解释信息实体。浏览器应当向用户展示任何在当前响应中被包含的实体。
这些状态码适用于任何响应方法。
-
500 Internal Server Error
- 服务器遇到了一个未曾预料的状况,导致了它无法完成对请求的处理。一般来说,这个问题都会在服务器的程序码出错时出现。
-
501 Not Implemented
- 服务器不支持当前请求所需要的某个功能。当服务器无法识别请求的方法,并且无法支持其对任何资源的请求。
-
503 Service Unavailable
- 由于临时的服务器维护或者 过载,服务器当前无法处理请求。这个状况是临时的,并且将在一段时间以后恢复。如果能够预计延迟时间,那么响应中可以包含一个Retry-After头用以标明这个延迟时间。如果没有给出这个Retry-After信息,那么客户端应当以处理 500响应的方式处理它。
-
504 Gateway Timeout
- 作为网关或者代理工作的服务器尝试执行请求时,未能及时从上游服务器(URI标识出的服务器,例如 HTTP、 FTP、 LDAP)或者辅助服务器(例如 DNS)收到响应。
- 注意:某些代理服务器在DNS查询 超时时会返回 400或者 500错误。
-
505 HTTP Version Not Supported
- 服务器不支持,或者拒绝支持在请求中使用的HTTP版本。这暗示着服务器不能或不愿使用与客户端相同的版本。响应中应当包含一个描述了为何版本不被支持以及服务器支持哪些协议的实体。
-
506 Variant Also Negotiates
- 由《透明内容协商协议》( RFC 2295)扩展,代表服务器存在内部配置错误:被请求的协商变元资源被配置为在透明内容协商中使用自己,因此在一个协商处理中不是一个合适的重点。
-
509 Bandwidth Limit Exceeded
- 服务器达到 带宽限制。这不是一个官方的状态码,但是仍被广泛使用。
-
510 Not Extended
- 获取资源所需要的策略并没有被满足。( RFC 2774)
-
基本格式[编辑]
协议头的字段,是在请求(request)或回复(response)那一行(这是一条消息的第一行内容)内容之后传输的。协议头的字段,是以明文的字符串格式传输的,以冒号分隔的键名/值对,最后以回车(CR)和换行(LF)符序列结尾。协议 头部分的结束,是以一个空白的字段来标识的,结果就是,会传输两个连续的回车换行符对。 在历史上,曾经会将狠长的文字行以多个短行的形式传输; 在下一行的开头,输出一个空格(SP)或者一个水平制表符(HT),表示它是一个后续行。如今, 这种换行形式已经废弃了[1]。
字段名[编辑]
在由互联网工程任务组 (IETF)发行的征求修正意见书 7231 中,对一组核心的字段进行了标准化。 有一份对于这些字段的官方的登记册,以及 一系列的补充规范 ,由互联网号码分配局(IANA)维护。各个应用程序 也可以自行定义额外的字段名字及相应的值。
协议头的固定登记册和临时注册仓库是由互联网号码分配局维护的。 按照惯例 ,对于非标准的协议头字段, 是在字段名字前面加上 X- 前缀来标识的。 然而 ,这一惯例在2012 年六月被废弃了,因为 ,按照这种惯例, 当非标准字段变成标准字段时,会引起很多不方便之处。 之前曾有的,对于 Downgraded- 的使用限制,也被取消了。
字段值[编辑]
某些字段 中可以包含注释内容 ( 也就是说,在 User-Agent 、 Server 、 Via字段 中 ) , 这些注释内容可被应用程序忽略。
很多字段值中都会带有带权重的(quality ( q ))键值对, 这种权重会在 内容协商 的过程 中使用。
大小限制[编辑]
标准 中没有针对每个协议头字段的名字和值的尺寸设置任何限制, 也没有限制字段的个数。然而 ,出于实际场景及安全性的考虑,大部分的服务器、客户端和代理软件都会实施一些限制。例如, 阿帕奇(Apache)2.3 服务器, 在默认情况下, 会限制每个字段的尺寸不超过 8190字节 , 同时,单个请求中最多可以有 100 个协议头字段[2]。
请求字段[编辑]
协议头字段名 说明 示例 状态 Accept 能够接受的回应内容类型(Content-Types)。参见内容协商。 Accept: text/plain
Permanent Accept-Charset 能够接受的字符集 Accept-Charset: utf-8
Permanent Accept-Encoding 能够接受的编码方式列表。参考 超文本传输协议压缩 。 Accept-Encoding: gzip, deflate
Permanent Accept-Language 能够接受的回应内容的自然语言列表。参考 内容协商 。 Accept-Language: en-US
Permanent Accept-Datetime 能够接受的按照时间来表示的版本 Accept-Datetime: Thu, 31 May 2007 20:35:00 GMT
Provisional Authorization 用于超文本传输协议的认证的认证信息 Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Permanent Cache-Control 用来指定在这次的请求/回复链中的所有缓存机制 都必须 遵守的指令 Cache-Control: no-cache
Permanent Connection 该浏览器想要优先使用的连接类型 Connection: keep-alive
Connection: Upgrade
Permanent Cookie 之前由服务器通过 Set- Cookie (下文详述)发送的一个 超文本传输协议Cookie Cookie: $Version=1; Skin=new;
Permanent: standard Content-Length 以 八位字节数组 (8位的字节)表示的请求体的长度 Content-Length: 348
Permanent Content-MD5 请求体的内容的二进制 MD5 散列值,以 Base64 编码的结果 Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
Obsolete[4] Content-Type 请求体的 多媒体类型 (用于POST和PUT请求中) Content-Type: application/x-www-form-urlencoded
Permanent Date 发送该消息的日期和时间(按照 RFC 7231 中定义的"超文本传输协议日期"格式来发送) Date: Tue, 15 Nov 1994 08:12:31 GMT
Permanent Expect 表明客户端要求服务器做出特定的行为 Expect: 100-continue
Permanent From 发起此请求的用户的邮件地址 From: user@example.com
Permanent Host 服务器的域名(用于 虚拟 主机 ),以及服务器所监听的 传输控制协议端口 号。如果所请求的端口是对应的服务的标准端口,则 端口 号可被省略。 [5] 自超文件传输协议版本1.1(HTTP/1.1)开始便是必需字段。
Host: en.wikipedia.org:80
Host: en.wikipedia.org
Permanent If-Match 仅当客户端提供的实体与服务器上对应的实体相匹配时,才进行对应的操作。主要作用时,用作像 PUT 这样的方法中,仅当从用户上次更新某个资源以来,该资源未被修改的情况下,才更新该资源。 If-Match: "737060cd8c284d8af7ad3082f209582d"
Permanent If-Modified-Since 允许在对应的内容未被修改的情况下返回304未修改( 304 Not Modified ) If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT
Permanent If-None-Match 允许在对应的内容未被修改的情况下返回304未修改( 304 Not Modified ),参考 超文本传输协议 的实体标记 If-None-Match: "737060cd8c284d8af7ad3082f209582d"
Permanent If-Range 如果该实体未被修改过,则向我发送我所缺少的那一个或多个部分;否则,发送整个新的实体 If-Range: "737060cd8c284d8af7ad3082f209582d"
Permanent If-Unmodified-Since 仅当该实体自某个特定时间已来未被修改的情况下,才发送回应。 If-Unmodified-Since: Sat, 29 Oct 1994 19:43:31 GMT
Permanent Max-Forwards 限制该消息可被代理及网关转发的次数。 Max-Forwards: 10
Permanent Origin 发起一个针对 跨来源资源共享 的请求(要求服务器在回应中加入一个‘访问控制-允许来源’('Access-Control-Allow-Origin')字段)。 Origin: http://www.example-social-network.com
Permanent: standard Pragma 与具体的实现相关,这些字段可能在请求/回应链中的任何时候产生 多种效果。 Pragma: no-cache
Permanent Proxy-Authorization 用来向代理进行认证的认证信息。 Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Permanent Range 仅请求某个实体的一部分。字节偏移以0开始。参考 字节服务 。 Range: bytes=500-999
Permanent Referer [sic] 表示浏览器所访问的前一个页面,正是那个页面上的某个链接将浏览器带到了当前所请求的这个页面。(“引导者”(“referrer”)这个单词,在RFC 中被拼错了,因此在大部分的软件实现中也拼错了,以至于,错误的拼法成为了标准的用法,还被当成了正确的术语) Referer: http://en.wikipedia.org/wiki/Main_Page
Permanent TE 浏览器预期接受的传输编码方式:可使用回应协议头Transfer-Encoding 字段中的那些值,另外还有一个值可用,"trailers"(与" 分 块 "传输方式相关),用来表明,浏览器希望在最后一个尺寸为0的块之后还接收到一些额外的字段。 TE: trailers, deflate
Permanent User-Agent 浏览器的浏览器身份标识字符串 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/21.0
Permanent Upgrade 要求服务器升级到另一个协议。 Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
Permanent Via 向服务器告知,这个请求是由哪些代理发出的。 Via: 1.0 fred, 1.1 example.com (Apache/1.1)
Permanent Warning 一个一般性的警告,告知,在实体内容体中可能存在错误。 Warning: 199 Miscellaneous warning
Permanent 常见的非标准请求字段[编辑]
字段名 说明 示例 X-Requested-With 主要用于标识 Ajax 及可扩展标记语言 请求。大部分的 爪哇脚本框架 会发送这个字段,且将其值设置为 XMLHttpRequest X-Requested-With: XMLHttpRequest
DNT[6] 请求某个网页应用程序停止跟踪某个用户。在火狐浏览器中,相当于X-Do-Not-Track协议头字段(自 火狐4.0 测试(Beta) 11版开始支持)。 Safari 和 Internet Explorer 9 也支持这个字段。在2011 年三月7 日,有人向互联网工程任务组提交了一个草案。 [7] 万维网协会 的跟踪保护工作组正在就此制作一项规范。[8] DNT: 1 (Do Not Track Enabled)
DNT: 0 (Do Not Track Disabled)
X-Forwarded-For[9] 一个事实标准 ,用于标识某个通过超文本传输协议代理或负载均衡连接到某个网页服务器的客户端的原始互联网地址 X-Forwarded-For: client1, proxy1, proxy2
X-Forwarded-For: 129.78.138.66, 129.78.64.103
X-Forwarded-Host[10] a de facto standard for identifying the original host requested by the client in the Host
HTTP request header, since the host name and/or port of the reverse proxy (load balancer) may differ from the origin server handling the request.X-Forwarded-Host: en.wikipedia.org:80
X-Forwarded-Host: en.wikipedia.org
X-Forwarded-Proto[11] 一个事实标准 用于标识某个超文本传输协议请求最初所使用的协议,因为,在反向代理(负载均衡)上,即使最初发往该反向代理的请求类型是安全的超文本传输协议(HTTPS),该反向代理也仍然可能会使用超文本传输协议(HTTP)来与网页服务器通信。谷歌客户端在与谷歌服务器通信时会使用该协议头的一个替代形式(X-ProxyUser-Ip)。 X-Forwarded-Proto: https
Front-End-Https[12] Non-standard header field used by Microsoft applications and load-balancers Front-End-Https: on
X-Http-Method-Override[13] 请求某个网页应用程序使用该协议头字段中指定的方法(一般是PUT或DELETE)来覆盖掉在请求中所指定的方法(一般是POST)。当某个浏览器或防火墙阻止直接发送PUT 或DELETE 方法时(注意,这可能是因为软件中的某个漏洞,因而需要修复,也可能是因为某个配置选项就是如此要求的,因而不应当设法绕过),可使用这种方式。 X-HTTP-Method-Override: DELETE
X-ATT-DeviceId[14] Allows easier parsing of the MakeModel/Firmware that is usually found in the User-Agent String of AT&T Devices X-Att-Deviceid: GT-P7320/P7320XXLPG
X-Wap-Profile[15] Links to an XML file on the Internet with a full description and details about the device currently connecting. In the example to the right is an XML file for an AT&T Samsung Galaxy S2. x-wap-profile:http://wap.samsungmobile.com/uaprof/SGH-I777.xml
Proxy-Connection[16] 因为对超文本传输协议规范的误解而实现的一个协议头。因为早期超文本传输协议版本实现中的错误而出现。与标准的连接(Connection)字段的功能完全相同。 Proxy-Connection: keep-alive
X-UIDH[17][18][19] Server-side deep packet insertion of a unique ID identifying customers of Verizon Wireless; also known as "perma-cookie" or "supercookie" X-UIDH: .
..
X-Csrf-Token[20] Used to prevent cross-site request forgery. Alternative header names are: X-CSRFToken
[21] andX-XSRF-TOKEN
[22]X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
回应字段[编辑]
Field name Description Example Status Access-Control-Allow-Origin 指定哪些网站可参与到 跨来源资源共享 过程中 Access-Control-Allow-Origin: *
Provisional Accept-Patch[23] Specifies which patch document formats this server supports Accept-Patch: text/example;charset=utf-8
Permanent Accept-Ranges 这个服务器支持哪些种类的部分内容范围 Accept-Ranges: bytes
Permanent Age 这个对象在 代理缓存 中存在的时间,以秒为单位 Age: 12
Permanent Allow 对于特定资源有效的动作。针对405不允许该方法( 405 Method not allowed )而使用 Allow: GET, HEAD
Permanent Cache-Control 向从服务器直到客户端在内的所有缓存机制告知,它们是否可以缓存这个对象。其单位为秒 Cache-Control: max-age=3600
Permanent Connection 针对该连接所预期的选项 Connection: close
Permanent Content-Disposition[24] An opportunity to raise a "File Download" dialogue box for a known MIME type with binary format or suggest a filename for dynamic content. Quotes are necessary with special characters. Content-Disposition: attachment; filename="fname.ext"
Permanent Content-Encoding 在数据上使用的编码类型。参考 超文本传输协议压缩 。 Content-Encoding: gzip
Permanent Content-Language 内容所使用的语言 Content-Language: da
Permanent Content-Length 回应消息体的长度,以 字节 (8位为一字节)为单位 Content-Length: 348
Permanent Content-Location 所返回的数据的一个候选位置 Content-Location: /index.htm
Permanent Content-MD5 回应内容的二进制 MD5 散列,以 Base64 方式编码 Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
Obsolete[26] Content-Range 这条部分消息是属于某条完整消息的哪个部分 Content-Range: bytes 21010-47021/47022
Permanent Content-Type 当前内容的MIME类型 Content-Type: text/html; charset=utf-8
Permanent Date 此条消息被发送时的日期和时间(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示) Date: Tue, 15 Nov 1994 08:12:31 GMT
Permanent ETag 对于某个资源的某个特定版本的一个标识符,通常是一个 消息散列 ETag: "737060cd8c284d8af7ad3082f209582d"
Permanent Expires 指定一个日期/时间,超过该时间则认为此回应已经过期 Expires: Thu, 01 Dec 1994 16:00:00 GMT
Permanent: standard Last-Modified 所请求的对象的最后修改日期(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示) Last-Modified: Tue, 15 Nov 1994 12:45:26 GMT
Permanent Link 用来表达与另一个资源之间的类型关系,此处所说的类型关系是在 RFC 5988 中定义的 Link: </feed>; rel="alternate"
[27]Permanent Location 用来 进行 重定向 ,或者在创建了某个新资源时使用。 Location: http://www.w3.org/pub/WWW/People.html
Permanent P3P This field is supposed to set P3P policy, in the form of P3P:CP="your_compact_policy"
. However, P3P did not take off,[28] most browsers have never fully implemented it, a lot of websites set this field with fake policy text, that was enough to fool browsers the existence of P3P policy and grant permissions for third party cookies.P3P: CP="This is not a P3P policy!
See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Permanent Pragma 与具体的实现相关,这些字段可能在请求/回应链中的任何时候产生多种效果。 Pragma: no-cache
Permanent Proxy-Authenticate 要求在访问代理时提供身份认证信息。 Proxy-Authenticate: Basic
Permanent Public-Key-Pins[29] 用于缓解 中间人攻击 ,声明网站的认证用的 传输 层安全协议 证书的散列值 Public-Key-Pins: max-age=2592000; pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g=";
Permanent Refresh Used in redirection, or when a new resource has been created. This refresh redirects after 5 seconds. Refresh: 5; url=http://www.w3.org/pub/WWW/People.html
Proprietary and non-standard: a header extension introduced by Netscape and supported by most web browsers. Retry-After 如果某个实体临时不可用,则,此协议头用来告知客户端日后重试。其值可以是一个特定的时间段(以秒为单位)或一个超文本传输协议日期。 [30] - Example 1:
Retry-After: 120
- Example 2:
Retry-After: Fri, 07 Nov 2014 23:59:59 GMT
Permanent
Server 服务器的名字 Server: Apache/2.4.1 (Unix)
Permanent Set-Cookie HTTP cookie Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1
Permanent: standard Status 通用网关接口 协议头字段,用来说明当前这个超文本传输协议回应的 状态 。普通的超文本传输协议回应,会使用单独的“状态行”("Status-Line")作为替代,这一点是在 RFC 7230 中定义的。
Status: 200 OK
Not listed as aregistered field name Strict-Transport-Security A HSTS Policy informing the HTTP client how long to cache the HTTPS only policy and whether this applies to subdomains. Strict-Transport-Security: max-age=16070400; includeSubDomains
Permanent: standard Trailer The Trailer general field value indicates that the given set of header fields is present in the trailer of a message encoded with chunked transfer coding. Trailer: Max-Forwards
Permanent Transfer-Encoding 用来将实体安全地传输给用户的编码形式。 当前定义 的方法 包括: 分 块 、压缩(compress)、缩小(deflate)、压缩(gzip)、实体(identity)。 Transfer-Encoding: chunked
Permanent Upgrade 要求客户端升级到另一个协议。 Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
Permanent Vary 告知下游的代理服务器,应当如何对未来的请求协议头进行匹配,以决定是否可使用已缓存的回应内容而不是重新从原始服务器请求新的内容。 Vary: *
Permanent Via 告知代理服务器的客户端,当前回应是通过什么途径发送的。 Via: 1.0 fred, 1.1 example.com (Apache/1.1)
Permanent Warning 一般性的警告,告知在实体内容体中可能存在错误。 Warning: 199 Miscellaneous warning
Permanent WWW-Authenticate 表明在请求获取这个实体时应当使用的认证模式。 WWW-Authenticate: Basic
Permanent X-Frame-Options[32] Clickjacking protection: deny - no rendering within a frame,sameorigin - no rendering if origin mismatch, allow-from - allow from specified location, allowall - non-standard, allow from any location X-Frame-Options: deny
Obsolete[33] 常见的非标准回应字段[编辑]
字段名 说明 示例 X-XSS-Protection[34] 跨站脚本攻击 (XSS)过滤器 X-XSS-Protection: 1; mode=block
Content-Security-Policy,X-Content-Security-Policy,X-WebKit-CSP[35] 内容安全策略定义。 X-WebKit-CSP: default-src 'self'
X-Content-Type-Options[36] The only defined value, "nosniff", prevents Internet Explorer from MIME-sniffing a response away from the declared content-type. This also applies to Google Chrome, when downloading extensions.[37] X-Content-Type-Options: nosniff
X-Powered-By[38] 表明用于支持当前网页应用程序的技术(例如PHP)(版本号细节通常放置在 X-Runtime 或 X-Version 中) X-Powered-By: PHP/5.4.0
X-UA-Compatible[39] Recommends the preferred rendering engine (often a backward-compatibility mode) to use to display the content. Also used to activate Chrome Frame in Internet Explorer. X-UA-Compatible: IE=EmulateIE7
X-UA-Compatible: IE=edge
X-UA-Compatible: Chrome=1
X-Content-Duration[40] Provide the duration of the audio or video in seconds; only supported by Gecko browsers X-Content-Duration: 42.666
参考文献[编辑]
- Example 1: