HTTP消息头.docx

《HTTP消息头.docx》由会员分享，可在线阅读，更多相关《HTTP消息头.docx（17页珍藏版）》请在冰豆网上搜索。

HTTP消息头

HTTP头标

头标由主键/值对组成。

它们描述客户端或者服务器的属性、被传输的资源以及应该实现连接。

四种不同类型的头标：

1.通用头标：

即可用于请求，也可用于响应，是作为一个整体而不是特定资源与事务相关联。

2.请求头标：

允许客户端传递关于自身的信息和希望的响应形式。

3.响应头标：

服务器和于传递自身信息的响应。

4.实体头标：

定义被传送资源的信息。

即可用于请求，也可用于响应。

头标格式：

:

下表描述在HTTP/1.1中用到的头标

Accept            定义客户端可以处理的媒体类型，按优先级排序；

                       在一个以逗号为分隔的列表中，可以定义多种类型和使用通配符。

例如：

Accept:

 image/jpeg,image/png,*/*

Accept-Charset        定义客户端可以处理的字符集，按优先级排序；

                 在一个以逗号为分隔的列表中，可以定义多种类型和使用通配符。

例如：

Accept-Charset:

 iso-8859-1,*,utf-8

Accept-Encoding        定义客户端可以理解的编码机制。

例如：

Accept-Encoding:

gzip,compress

Accept-Language    定义客户端乐于接受的自然语言列表。

例如：

Accept-Language:

 en,de

Accept-Ranges        一个响应头标，它允许服务器指明：

将在给定的偏移和长度处，为资源组成部分的接受请求。

            该头标的值被理解为请求范围的度量单位。

例如Accept-Ranges:

 bytes或Accept-Ranges:

 none

Age            允许服务器规定自服务器生成该响应以来所经过的时间长度，以秒为单位。

            该头标主要用于缓存响应。

例如：

Age:

 30

Allow            一个响应头标，它定义一个由位于请求URI中的次源所支持的HTTP方法列表。

例如：

Allow:

 GET,PUT

aUTHORIZATION        一个响应头标，用于定义访问一种资源所必需的授权（域和被编码的用户ID与口令）。

            例如：

Authorization:

 Basic YXV0aG9yOnBoaWw=

Cache-Control        一个用于定义缓存指令的通用头标。

例如：

Cache-Control:

 max-age=30

Connection        一个用于表明是否保存socket连接为开放的通用头标。

例如：

Connection:

 close或Connection:

 keep-alive

Content-Base        一种定义基本URI的实体头标，为了在实体范围内解析相对URLs。

            如果没有定义Content-Base头标解析相对URLs，使用Content-Location URI（存在且绝对）或使用URI请求。

            例如：

Content-Base:

 Http:

//

Content-Encoding    一种介质类型修饰符，标明一个实体是如何编码的。

例如：

Content-Encoding:

 zip

Content-Language    用于指定在输入流中数据的自然语言类型。

例如：

Content-Language:

 en

Content-Length        指定包含于请求或响应中数据的字节长度。

例如：

Content-Length:

382

Content-Location        指定包含于请求或响应中的资源定位（URI）。

            如果是一绝。

对URL它也作为被解析实体的相对URL的出发点。

            例如：

Content-Location:

Content-MD5        实体的一种MD5摘要，用作校验和。

            发送方和接受方都计算MD5摘要，接受方将其计算的值与此头标中传递的值进行比较。

            例如：

Content-MD5:

Content-Range        随部分实体一同发送；标明被插入字节的低位与高位字节偏移，也标明此实体的总长度。

            例如：

Content-Range:

 1001-2000/5000

Contern-Type        标明发送或者接收的实体的MIME类型。

例如：

Content-Type:

 text/html

Date            发送HTTP消息的日期。

例如：

Date:

 Mon,10PR 18:

42:

51 GMT

ETag            一种实体头标，它向被发送的资源分派一个唯一的标识符。

            对于可以使用多种URL请求的资源，ETag可以用于确定实际被发送的资源是否为同一资源。

            例如：

ETag:

 "208f-419e-30f8dc99"

Expires            指定实体的有效期。

例如：

Expires:

 Mon,05 Dec 2008 12:

00:

00 GMT

Form            一种请求头标，给定控制用户代理的人工用户的电子邮件地址。

例如：

From:

 webmaster@

Host            被请求资源的主机名。

对于使用HTTP/1.1的请求而言，此域是强制性的。

例如：

Host:

If-Modified-Since        如果包含了GET请求，导致该请求条件性地依赖于资源上次修改日期。

            如果出现了此头标，并且自指定日期以来，此资源已被修改，应该反回一个304响应代码。

            例如：

If-Modified-Since:

 Mon,10PR 18:

42:

51 GMT

If-Match            如果包含于一个请求，指定一个或者多个实体标记。

只发送其ETag与列表中标记区配的资源。

            例如：

If-Match:

 "208f-419e-308dc99"

If-None-Match        如果包含一个请求，指定一个或者多个实体标记。

资源的ETag不与列表中的任何一个条件匹配，操作才执行。

            例如：

If-None-Match:

 "208f-419e-308dc99"

If-Range            指定资源的一个实体标记，客户端已经拥有此资源的一个拷贝。

必须与Range头标一同使用。

            如果此实体自上次被客户端检索以来，还不曾修改过，那么服务器只发送指定的范围，否则它将发送整个资源。

            例如：

Range:

 byte=0-499If-Range:

"208f-419e-30f8dc99"

If-Unmodified-Since    只有自指定的日期以来，被请求的实体还不曾被修改过，才会返回此实体。

            例如：

If-Unmodified-Since:

Mon,10PR 18:

42:

51 GMT

Last-Modified        指定被请求资源上次被修改的日期和时间。

例如：

Last-Modified:

 Mon,10PR 18:

42:

51 GMT

Location            对于一个已经移动的资源，用于重定向请求者至另一个位置。

            与状态编码302（暂时移动）或者301（永久性移动）配合使用。

            例如：

Location:

Max-Forwards        一个用于TRACE方法的请求头标，以指定代理或网关的最大数目，该请求通过网关才得以路由。

            在通过请求传递之前，代理或网关应该减少此数目。

例如：

Max-Forwards:

 3

Pragma            一个通用头标，它发送实现相关的信息。

例如：

Pragma:

 no-cache

Proxy-Authenticate    类似于WWW-Authenticate，便是有意请求只来自请求链（代理）的下一个服务器的认证。

            例如：

Proxy-Authenticate:

 Basic realm-admin

Proxy-Proxy-Authorization    类似于授权，但并非有意传递任何比在即时服务器链中更进一步的内容。

            例如：

Proxy-Proxy-Authorization:

 Basic YXV0aG9yOnBoaWw=

Public            列表显示服务器所支持的方法集。

例如：

Public:

 OPTIONS,MGET,MHEAD,GET,HEAD

Range            指定一种度量单位和一个部分被请求资源的偏移范围。

例如：

Range:

 bytes=206-5513

Refener            一种请求头标域，标明产生请求的初始资源。

对于HTML表单，它包含此表单的Web页面的地址。

            例如：

Refener:

Retry-After        一种响应头标域，由服务器与状态编码503（无法提供服务）配合发送，以标明再次请求之前应该等待多长时间。

            此时间即可以是一种日期，也可以是一种秒单位。

例如：

Retry-After:

 18

Server            一种标明Web服务器软件及其版本号的头标。

例如：

Server:

 Apache/2.0.46（Win32）

Transfer-Encoding    一种通用头标，标明对应被接受方反向的消息体实施变换的类型。

例如：

Transfer-Encoding:

 chunked

Upgrade        允许服务器指定一种新的协议或者新的协议版本，与响应编码101（切换协议）配合使用。

            例如：

Upgrade:

 HTTP/2.0

User-Agent        定义用于产生请求的软件类型（典型的如Web浏览器）。

            例如：

User-Agent:

 Mozilla/4.0（compatible; MSIE 5.5; Windows NT; DigExt）

Vary            一个响应头标，用于表示使用服务器驱动的协商从可用的响应表示中选择响应实体。

例如：

Vary:

 *

Via            一个包含所有中间主机和协议的通用头标，用于满足请求。

例如：

Via:

 1.0 , 1.1 

Warning            用于提供关于响应状态补充信息的响应头标。

例如：

Warning:

 99  Piano needs tuning

www-Authenticate    一个提示用户代理提供用户名和口令的响应头标，与状态编码401（未授权）配合使用。

响应一个授权头标。

            例如：

www-Authenticate:

 Basic realm=zxm.mgmt

（一）初识HTTP消息头

但凡搞WEB开发的人都离不开HTTP（超文本传输协议），而要了解HTTP，除了HTML本身以外，还有一部分不可忽视的就是HTTP消息头。

做过Socket编程的人都知道，当我们设计一个通信协议时，“消息头/消息体”的分割方式是很常用的，消息头告诉对方这个消息是干什么的，消息体告诉对方怎么干。

HTTP传输的消息也是这样规定的，每一个HTTP包都分为HTTP头和HTTP体两部分，后者是可选的，而前者是必须的。

每当我们打开一个网页，在上面点击右键，选择“查看源文件”，这时看到的HTML代码就是HTTP的消息体，那么消息头又在哪呢？

IE浏览器不让我们看到这部分，但我们可以通过截取数据包等方法看到它。

下面就来看一个简单的例子：

首先制作一个非常简单的网页，它的内容只有一行：

helloworld

把它放到WEB服务器上，比如IIS，然后用IE浏览器请求这个页面（http:

//localhost:

8080/simple.htm），当我们请求这个页面时，浏览器实际做了以下四项工作：

1解析我们输入的地址，从中分解出协议名、主机名、端口、对象路径等部分，对于我们的这个地址，解析得到的结果如下：

协议名：

http

主机名：

localhost

端口：

8080

对象路径：

/simple.htm

2把以上部分结合本机自己的信息，封装成一个HTTP请求数据包

3使用TCP协议连接到主机的指定端口（localhost,8080），并发送已封装好的数据包

4等待服务器返回数据，并解析返回数据，最后显示出来

由截取到的数据包我们不难发现浏览器生成的HTTP数据包的内容如下：

GET/simple.htmHTTP/1.1

Accept:

image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,application/x-shockwave-flash,application/vnd.ms-excel,application/vnd.ms-powerpoint,application/msword,*/*

Accept-Language:

zh-cn

Accept-Encoding:

gzip,deflate

User-Agent:

Mozilla/4.0（compatible;MSIE6.0;WindowsNT5.1;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727）

Host:

localhost:

8080

Connection:

Keep-Alive

为了显示清楚我把所有的回车的地方都加上了“”，注意最后还有一个空行加一个回车，这个空行正是HTTP规定的消息头和消息体的分界线，第一个空行以下的内容就是消息体，这个请求数据包是没有消息体的。

消息的第一行“GET”表示我们所使用的HTTP动作，其他可能的还有“POST”等，GET的消息没有消息体，而POST消息是有消息体的，消息体的内容就是要POST的数据。

后面/simple.htm就是我们要请求的对象，之后HTTP1.1表示使用的是HTTP1.1协议。

第二行表示我们所用的浏览器能接受的Content-type，三四两行则是语言和编码信息，第五行显示出本机的相关系信息，包括浏览器类型、操作系统信息等，很多网站可以显示出你所使用的浏览器和操作系统版本，就是因为可以从这里获取到这些信息。

第六行表示我们所请求的主机和端口，第七行表示使用Keep-Alive方式，即数据传递完并不立即关闭连接。

服务器接收到这样的数据包以后会根据其内容做相应的处理，例如查找有没有“/simple.htm”这个对象，如果有，根据服务器的设置来决定如何处理，如果是HTM，则不需要什么复杂的处理，直接返回其内容即可。

但在直接返回之前，还需要加上HTTP消息头。

服务器发回的完整HTTP消息如下：

HTTP/1.1200OK

Server:

Microsoft-IIS/5.1

X-Powered-By:

ASP.NET

Date:

Fri,03Mar200606:

34:

03GMT

Content-Type:

text/html

Accept-Ranges:

bytes

Last-Modified:

Fri,03Mar200606:

33:

18GMT

ETag:

"5ca4f75b8c3ec61:

9ee"

Content-Length:

37

helloworld

同样，我用“”来表示回车。

可以看到，这个消息也是用空行切分成消息头和消息体两部分，消息体的部分正是我们前面写好的HTML代码。

消息头第一行“HTTP/1.1”也是表示所使用的协议，后面的“200OK”是HTTP返回代码，200就表示操作成功，还有其他常见的如404表示对象未找到，500表示服务器错误，403表示不能浏览目录等等。

第二行表示这个服务器使用的WEB服务器软件，这里是IIS5.1。

第三行是ASP.Net的一个附加提示，没什么实际用处。

第四行是处理此请求的时间。

第五行就是所返回的消息的content-type，浏览器会根据它来决定如何处理消息体里面的内容，例如这里是text/html，那么浏览器就会启用HTML解析器来处理它，如果是image/jpeg，那么就会使用JPEG的解码器来处理。

消息头最后一行“Content-Length”表示消息体的长度，从空行以后的内容算起，以字节为单位，浏览器接收到它所指定的字节数的内容以后就会认为这个消息已经被完整接收了。

理解HTTP消息头

（二）

常见的HTTP返回码

上一篇文章里我简要的说了说HTTP消息头的格式，注意到在服务器返回的HTTP消息头里有一个“HTTP/1.1200OK”，这里的200是HTTP规定的返回代码，表示请求已经被正常处理完成。

浏览器通过这个返回代码就可以知道服务器对所发请求的处理情况是什么，每一种返回代码都有自己的含义。

这里列举几种常见的返回码。

1403AccessForbidden

如果我们试图请求服务器上一个文件夹，而在WEB服务器上这个文件夹并没有允许对这个文件夹列目录的话，就会返回这个代码。

一个完整的403回复可能是这样的：

（IIS5.1）

HTTP/1.1403AccessForbidden

Server:

Microsoft-IIS/5.1

Date:

Mon,06Mar200608:

57:

39GMT

Connection:

close

Content-Type:

text/html

Content-Length:

172

DirectoryListingDenied

2404Objectnotfound

当我们请求的对象在服务器上并不存在时，就会给出这个返回代码，这可能也是最常见的错误代码了。

IIS给出的404消息内容很长，除了消息头以外还有一个完整的说明“为什么会这样”的网页。

APACHE服务器的404消息比较简短，如下：

HTTP/1.1404NotFound

Date:

Mon,06Mar200609:

03:

14GMT

Server:

Apache/2.0.55（Unix）PHP/5.0.5

Content-Length:

291

Keep-Alive:

timeout=15,max=100

Connection:

Keep-Alive

Content-Type:

text/html;charset=iso-8859-1

DOCTYPEHTMLPUBLIC"-//IETF//DTDHTML2.0//EN">

NotFound

TherequestedURL/notexistwasnotfoundonthisserver.

也许你会问，无论是404还是200，都会在消息体内给出一个说明网页，那么对于客户端来说二者有什么区别呢？

一个比较明显的区别在于200是成功请求，浏览器会记录下这个地址，以便下次再访问时可以自动提示该地址，而404是失败请求，浏览器只会显示出返回的页面内容，并不会记录此地址，要再次访问时还需要输入完整的地址。

3401AccessDenied

当WEB服务器不允许匿名访问，而我们又没有提供正确的用户名/密码时，服务器就会给出这个返回代码。

在IIS中，设置IIS的安全属性为不允许匿名访问（如下图），此时直接访问的话就会得到以下返回结果：

HTTP/1.1401AccessDenied

Server:

Microsoft-IIS/5.1

Date:

Mon,06Mar200609:

15:

55GMT

WWW-Authenticate:

Negotiate

WWW-Authenticate:

NTLM

Connection:

close

Content-Length:

3964

Content-Type:

text/html

DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML3.2Final//EN">

……

此时浏览器上给出的提示如下图，让我们输入用户名和密码：

因返回信息中消息体较长，只取前面两行内容。

注意，如果是用localhost来访问本机的IIS，因IE可以直接取得当前用户的身份，它会和服务器间直接进行协商，所以不会看到401提示。

当我们在输入了用户名和密码以后，服务器与客户端会再进行两次对话。

首先客户端向服务器索取一个公钥，服务器端会返回一个公钥，二者都用BASE64编码，相应的消息如下（编码部分已经做了处理）：

GET/HTTP/1.1

Accept:

image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,application/x-shockwave-flash,application/vnd.ms-excel,application/vnd.ms-powerpoint,application/msword,*/*

Accept-Language:

zh-cn

Accept-Encoding:

gzip,deflate

User-Agent:

Mozilla/4.0（compatible;MSIE6.0;WindowsNT5.1;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727）

Host: