本文详细介绍了HTTP响应首部字段,如Accept-Ranges、Age、ETag、Location、Retry-After、Server、Vary、WWW-Authenticate等,以及实体首部字段,如Allow、Content-Encoding、Content-Language、Content-Length、Content-Location、Content-MD5、Content-Type、Expires、Last-Modified。这些字段在HTTP通信中用于资源管理、状态控制、缓存策略、认证和内容协商等方面,确保了数据传输的安全和效率。
6.5 响应首部字段
响应首部字段是由服务器向客户端响应报文里所使用的字段,用于不愁响应的附加信息、服务器西南西,以及对客户端的附加要求等信息。
6.5.1 Accept-Ranges
首部字段 Accept-Ranges 是用来告知客户端服务器是否能处理范围请求,以指定获取服务器端某个部分的资源。可指定的字段值有两种,可处理范围请求时指定其为 bytes,反之则指定其为 none。
6.5.2 Age
首部字段 Age 能告知客户端,源服务器在多久前创建了响应。字段值的单位为秒。若创建该响应的服务器是缓存服务器,Age 值是指缓存后的响应再次发起认证到认证完成的时间值。代理创建响应时必须加上首部字段Age。
6.5.3 ETag
首部字段 ETag 能告知客户端实体标识。它是一种可将资源以字符串形式做唯一性标识的方式。服务器会为每份资源分配对应的 ETag值。另外,当资源更新时,ETag 值也需要更新。生成 ETag 值时,并没有统一的算法规则,而仅仅是由服务器来分配。
资源被缓存时,就会被分配唯一性标识。例如,当使用中文版的浏览器访问http://www.google.com/ 时,就会返回中文版对应的资源,而使用英文版的浏览器访问时,则会返回英文版对应的资源。两者的URI 是相同的,所以仅凭 URI 指定缓存的资源是相当困难的。若在下载过程中出现连接中断、再连接的情况,都会依照 ETag 值来指定资源。
6.5.4 Location
使用首部字段 Location 可以将响应接收方引导至某个与请求 URI 位置不同的资源。基本上,该字段会配合 3xx :Redirection 的响应,提供重定向的URI。几乎所有的浏览器在接收到包含首部字段 Location 的响应后,都会强制性地尝试对已提示的重定向资源的访问。
6.5.6 Retry-After
首部字段 Retry-After 告知客户端应该在多久之后再次发送请求。主要配合状态码 503 Service Unavailable 响应,或 3xx Redirect 响应一起使用。字段值可以指定为具体的日期时间(Wed, 04 Jul 2012 06:34:24GMT 等格式),也可以是创建响应后的秒数。
6.5.7 Server
首部字段 Server 告知客户端当前服务器上安装的 HTTP 服务器应用程序的信息。不单单会标出服务器上的软件应用名称,还有可能包括版本号和安装时启用的可选项。
6.5.8 Vary
当代理服务器接收到带有 Vary 首部字段指定获取资源的请求时,如果使用的 Accept-Language 字段的值相同,那么就直接从缓存返回响应。反之,则需要先从源服务器端获取资源后才能作为响应返回。
首部字段 Vary 可对缓存进行控制。源服务器会向代理服务器传达关
于本地缓存使用方法的命令。
从代理服务器接收到源服务器返回包含 Vary 指定项的响应之后,若再要进行缓存,仅对请求中含有相同 Vary 指定首部字段的请求返回缓存。即使对相同资源发起请求,但由于 Vary 指定的首部字段不相同,因此必须要从源服务器重新获取资源。
6.5.9 WWW-Authenticate
WWW-Authenticate: Basic realm=“Usagidesign Auth”
首部字段 WWW-Authenticate 用于 HTTP 访问认证。它会告知客户端
适用于访问请求 URI 所指定资源的认证方案(Basic 或是 Digest)和
带参数提示的质询(challenge)。状态码 401 Unauthorized 响应中,
肯定带有首部字段 WWW-Authenticate。
6.6 实体首部字段
实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首
部,用于补充内容的更新时间等与实体相关的信息。
6.6.1 Allow
首部字段 Allow 用于通知客户端能够支持 Request-URI 指定资源的所有 HTTP 方法。当服务器接收到不支持的 HTTP 方法时,会以状态码405 Method Not Allowed 作为响应返回。与此同时,还会把所有能支持的 HTTP 方法写入首部字段 Allow 后返回。
6.6.2 Content-Encoding
首部字段 Content-Encoding 会告知客户端服务器对实体的主体部分选用的内容编码方式。内容编码是指在不丢失实体信息的前提下所进行
的压缩。有4种压缩方式,gizp/compress/deflate/indentity
Content-Encoding: gizp
6.6.3 Content-Language
首部字段 Content-Language 会告知客户端,实体主体使用的自然语言
(指中文或英文等语言)。
6.6.4 Content-Length
首部字段 Content-Length 表明了实体主体部分的大小(单位是字节)。对实体主体进行内容编码传输时,不能再使用 Content-Length首部字段。由于实体主体大小的计算方法略微复杂,所以在此不再展开。读者若想一探究竟,可参考 RFC2616 的 4.4。
6.6.5 Content-Location
首部字段 Content-Location 给出与报文主体部分相对应的 URI。和首
部字段 Location 不同,Content-Location 表示的是报文主体返回资源对应的 URI。
Content-Location: http://www.hackr.jp/index-ja.html
6.6.6 Content-MD5
对报文主体执行 MD5 算法获得的 128 位二进制数,再通过 Base64 编码后将结果写入 Content-MD5 字段值。由于 HTTP 首部无法记录二进制值,所以要通过 Base64 编码处理。为确保报文的有效性,作为接收方的客户端会对报文主体再执行一次相同的 MD5 算法。计算出的值与字段值作比较后,即可判断出报文主体的准确性。
采用这种方法,对内容上的偶发性改变是无从查证的,也无法检测出
恶意篡改。其中一个原因在于,内容如果能够被篡改,那么同时意味
着 Content-MD5 也可重新计算然后被篡改。
6.6.8 Content-Type
首部字段 Content-Type 说明了实体主体内对象的媒体类型。和首部字段 Accept 一样,字段值用 type/subtype 形式赋值。
Content-Type: text/html; charset=UTF-8
6.6.9 Expires
首部字段 Expires 会将资源失效的日期告知客户端。缓存服务器在接收到含有首部字段 Expires 的响应后,会以缓存来应答请求,在Expires 字段值指定的时间之前,响应的副本会一直被保存。当超过指定的时间后,缓存服务器在请求发送过来时,会转向源服务器请求资源。
6.6.10 Last-Modidied
首部字段 Last-Modified 指明资源最终修改的时间。一般来说,这个
值就是 Request-URI 指定资源被修改的时间。但类似使用 CGI 脚本进
行动态数据处理时,该值有可能会变成数据最终修改时的时间。
6.7 为Cookie服务的首部字段
**Cookie 的工作机制是用户识别及状态管理。Web 网站为了管理用户的状态会通过 Web 浏览器,把一些数据临时写入用户的计算机内。**接着当用户访问该Web网站时,可通过通信方式取回之前发放的Cookie。调用 Cookie 时,由于可校验 Cookie 的有效期,以及发送方的域、路径、协议等信息,所以正规发布的 Cookie 内的数据不会因来自其他Web 站点和攻击者的攻击而泄露。
6.7.1 Set-Cookie
当服务器准备开始管理客户端状态时,会事先告知各种信息。Set-Cookie的字段值如下:
6.7.2 Cookie
首部字段Cookie会告知服务器,当客户端想获得HTTP状态管理支持时,会在请求里包含从服务器接收到的一个或多个Cookie。
Cookie: status=enable
6.8 其他首部字段
HTTP首部字段是可以进行自行扩展的。所以在Web服务器和浏览器的应用上会出现各种非标准的首部字段。
6.8.1 X-Frame-Option
首部字段 X-Frame-Options 属于 HTTP 响应首部,用于控制网站内容在其他 Web 网站的 Frame 标签内的显示问题。其主要目的是为了防止点击劫持(clickjacking)攻击。
首部字段 X-Frame-Options 有以下两个可指定的字段值。
DENY :拒绝 SAMEORIGIN
:仅同源域名下的页面(Top-level-browsingcontext)匹配时许可。(比如,当指定 http://hackr.jp/sample.html 页面为 SAMEORIGIN 时,那么 hackr.jp 上所有页面的 frame 都被 允许可加载该页面,而 example.com 等其他域名的页面就不行 了)
支持该首部字段的浏览器有:Internet Explorer 8、Firefox 3.6.9+、Chrome 4.1.249.1042+、Safari 4+ 和 Opera 10.50+ 等。现在主流的浏览器都已经支持。能在所有的 Web 服务器端预先设定好 X-Frame-Options 字段值是最理想的状态。
6.8.2 X-XSS-Protection
首部字段 X-XSS-Protection 属于 HTTP 响应首部,它是针对跨站脚本攻击(XSS)的一种对策,用于控制浏览器 XSS 防护机制的开关。
首部字段 X-XSS-Protection 可指定的字段值如下。
0 :将 XSS 过滤设置成无效状态
1 :将 XSS 过滤设置成有效状态
6.8.3 DNT
首部字段 DNT 属于 HTTP 请求首部,其中 DNT 是 Do Not Track 的简称,意为拒绝个人信息被收集,是表示拒绝被精准广告追踪的一种方法。由于首部字段 DNT 的功能具备有效性,所以 Web 服务器需要对 DNT做对应的支持。
首部字段 DNT 可指定的字段值如下。
0 :同意被追踪
1 :拒绝被追踪
6.8.4 P3P
首部字段 P3P 属于 HTTP 相应首部,通过利用 P3P(The Platform for Privacy Preferences,在线隐私偏好平台)技术,可以让 Web 网站上的个人隐私变成一种仅供程序可理解的形式,以达到保护用户隐私的目的。要进行 P3P 的设定,需按以下操作步骤进行。
- 步骤 1:创建 P3P 隐私 步骤
- 2:创建 P3P 隐私对照文件后,保存命名在 /w3c/p3p.xml
- 步骤 3:从 P3P隐私中新建 Compact policies 后,输出到 HTTP 响应 中
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
