HTTP首部

HTTP请求报文：

HTTP响应报文：

使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。

HTTP 首部字段是由首部字段名和字段值构成的，中间用冒号“:” 分隔。

例如：Content-Type: text/html    Keep-Alive: timeout=15, max=100

备注：若 HTTP 首部字段重复了会如何

当 HTTP 报文首部中出现了两个或两个以上具有相同首部字段名时会怎么样？这种情况在规范内尚未明确，根据浏览器内部处理逻辑的不同，结果可能并不一致。有些浏览器会优先处理第一次出现的首部字段，而有些则会优先处理最后出现的首部字段

HTTP 首部字段根据实际用途被分为以下 4 种类型。

通用首部字段（General Header Fields）

请求报文和响应报文两方都会使用的首部。

请求首部字段（Request Header Fields）

从客户端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、响应内容相关优先级等信息。

响应首部字段（Response Header Fields）

从服务器端向客户端返回响应报文时使用的首部。补充了响应的附加内容，也会要求客户端附加额外的内容信息。

实体首部字段（Entity Header Fields）

针对请求报文和响应报文的实体部分使用的首部。补充了资源内容更新时间等与实体有关的信息。

HTTP/1.1

通用首部字段

Cache-Control:

public 指令：所有用户都可以利用缓存，链路上的所有代理服务器，浏览器都可以缓存。

private：响应只针对特定用户(浏览器)，代表只有发起请求的浏览器才可以进行缓存

https://stackoverflow.com/questions/3492319/private-vs-public-in-cache-control

no-cache指令：

从字面意思上很容易把 no-cache 误解成为不缓存，但事实上 no-cache 代表不缓存过期的资源，缓存会向源服务器进行有效期确认后处理资源，也许称为 do-notserve-from-cache-without-revalidation 更合适。no-store 才是真正地不进行缓存，请读者注意区别理解

max-age指令：

当客户端发送的请求中包含 max-age 指令时，如果判定缓存资源的缓存时间数值比指定时间的数值更小，那么客户端就接收缓存的资源。另外，当指定 max-age 值为 0，那么缓存服务器通常需要将请求转发给源服务器。当服务器返回的响应中包含 max-age 指令时，缓存服务器将不对资源的有效性再作确认，而 max-age 数值代表资源保存为缓存的最长时间。

应用 HTTP/1.1 版本的缓存服务器遇到同时存在 Expires 首部字段的情况时，会优先处理 max-age 指令，而忽略掉 Expires 首部字段。

min-fresh 指令：

要求当前时间加上min-fresh得到的时间要小于缓存的过期时间才可用，否则就重新从源服务器重新获取最新数据。

max-stale 指令：

使用 max-stale 可指示缓存资源，即使过期也照常接收。

如果指令未指定参数值，那么无论经过多久，客户端都会接收响应；如果指令中指定了具体数值，那么即使过期，只要仍处于 max-stale指定的时间内，仍旧会被客户端接收。

only-if-cached 指令：

使用 only-if-cached 指令表示客户端仅在缓存服务器本地缓存目标资源的情况下才会要求其返回。换言之，该指令要求缓存服务器不重新加载响应，也不会再次确认资源有效性。若发生请求缓存服务器的本地缓存无响应，则返回状态码 504 Gateway Timeout。

must-revalidate 指令：

使用 must-revalidate 指令，代理会向源服务器再次验证即将返回的响应缓存目前是否仍然有效。

若代理无法连通源服务器再次获取有效资源的话，缓存必须给客户端一条 504（Gateway Timeout）状态码。

另外，使用 must-revalidate 指令会忽略请求的 max-stale 指令（即使已经在首部使用了 max-stale，也不会再有效果）

no-transform 指令：

使用 no-transform 指令规定无论是在请求还是响应中，缓存都不能改变实体主体的媒体类型

https://docs.microsoft.com/en-us/dotnet/api/system.web.httpcachepolicy.setnotransforms?view=netframework-4.7.2

不得对资源进行转换或转变。Content-Encoding, Content-Range, Content-Type等HTTP头不能由代理修改。例如，非透明代理可以对图像格式进行转换，以便节省缓存空间或者减少缓慢链路上的流量。 no-transform指令不允许这样做。

Connection:

控制不再转发给代理的首部字段

管理持久连接

HTTP/1.1 版本的默认连接都是持久连接。为此，客户端会在持久连接上连续发送请求。当服务器端想明确断开连接时，则指定Connection 首部字段的值为 Close。

Date:

首部字段Date表明创建HTTP报文的日期和时间

Pragma:

这个基本不用管，是为了兼容http 1.1以前的版本而遗留的字段。

Trailer：

关于Trailer的说明：

https://blog.csdn.net/pud_zha/article/details/7926395

Transfer-Encoding:

首部字段 Transfer-Encoding 规定了传输报文主体时采用的编码方式。

Upgrade:

Via:

使用首部字段 Via 是为了追踪客户端与服务器之间的请求和响应报文的传输路径。

Warning:

HTTP/1.1 的 Warning 首部是从 HTTP/1.0 的响应首部（Retry-After）演变过来的。该首部通常会告知用户一些与缓存相关的问题的警告

请求首部字段：

Accept:

Accept 首部字段可通知服务器，用户代理能够处理的媒体类型及媒体类型的相对优先级

Accept-Charset:

Accept-Charset 首部字段可用来通知服务器用户代理支持的字符集及字符集的相对优先顺序。另外，可一次性指定多种字符集。与首部字段 Accept 相同的是可用权重 q 值来表示相对优先级

Accept-Encoding:

Accept-Encoding: gzip, deflate

Accept-Encoding 首部字段用来告知服务器用户代理支持的内容编码及内容编码的优先级顺序

Accept-Language:

首部字段 Accept-Language 用来告知服务器用户代理能够处理的自然语言集（指中文或英文等），以及自然语言集的相对优先级。可一次指定多种自然语言集。

Authorization:

首部字段 Authorization 是用来告知服务器，用户代理的认证信息（证书值）。

Expect:

客户端使用首部字段 Expect 来告知服务器，期望出现的某种特定行为。因服务器无法理解客户端的期望作出回应而发生错误时，会返回状态码 417 Expectation Failed

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Expect

From:

首部字段 From 用来告知服务器使用用户代理的用户的电子邮件地址。通常，其使用目的就是为了显示搜索引擎等用户代理的负责人的电子邮件联系方式。

Host:

首部字段 Host 会告知服务器，请求的资源所处的互联网主机名和端口号。Host 首部字段在 HTTP/1.1 规范内是唯一一个必须被包含在请求内的首部字段。

If-Match:

关于ETag的说明：https://www.jianshu.com/p/a3ea9619c38d

If-Modified-Since:

Last-Modified:服务端返回给客户端，告知上次修改时间

If-Modified-Since:客户端传送给服务端，超过这个时间，就200给最新的；没超过就直接返回304，表示不用传输，用缓存的就行，没变过。

If-None-Match:

If-None-Match要找的匹配值也是相对于ETag的，如果匹配上，直接返回304，如果没匹配上，返回200和最新的资源。

If-Range:

首部字段 If-Range 属于附带条件之一。它告知服务器若指定的 If-Range 字段值（ETag 值或者时间）和请求资源的 ETag 值或时间相一致时，则作为范围请求处理。反之，则返回全体资源。

Max-Forwards:

可以灵活使用首部字段 Max-Forwards，针对问题产生的原因展开调查。由于当 Max-Forwards 字段值为 0 时，服务器就会立即返回响应，由此我们至少可以对以那台服务器为终点的传输路径的通信状况有所把握

Proxy-Authorization:

接收到从代理服务器发来的认证质询时，客户端会发送包含首部字段Proxy-Authorization 的请求，以告知服务器认证所需要的信息。

Proxy-Authorization: Basic dGlwOjkpNLAGfFY5

Range:

接收到附带 Range 首部字段请求的服务器，会在处理请求之后返回状态码为 206 Partial Content 的响应。无法处理该范围请求时，则会返回状态码 200 OK 的响应及全部资源。

Referrer:

首部字段 Referer 会告知服务器请求的原始资源的 URI。

User-Agent:

响应首部字段：

Accept-Ranges:

首部字段 Accept-Ranges 是用来告知客户端服务器是否能处理范围请求，以指定获取服务器端某个部分的资源。可指定的字段值有两种，可处理范围请求时指定其为 bytes，反之则指定其为 none。

Age:

首部字段 Age 能告知客户端，源服务器在多久前创建了响应。字段值的单位为秒。

ETag:

首部字段 ETag 能告知客户端实体标识。它是一种可将资源以字符串形式做唯一性标识的方式。服务器会为每份资源分配对应的 ETag值。

Location:

使用首部字段 Location 可以将响应接收方引导至某个与请求 URI 位置不同的资源。基本上，该字段会配合 3xx ：Redirection 的响应，提供重定向的URI。

Proxy-Authenticate:

首部字段 Proxy-Authenticate 会把由代理服务器所要求的认证信息发送给客户端

Proxy-Authenticate: Basic realm="Usagidesign Auth"

Retry-After:

首部字段 Retry-After 告知客户端应该在多久之后再次发送请求。主要配合状态码 503 Service Unavailable 响应，或 3xx Redirect 响应一起使用。

Server:

首部字段 Server 告知客户端当前服务器上安装的 HTTP 服务器应用程序的信息

Vary:

当代理服务器接收到带有 Vary 首部字段指定获取资源的请求时，如果使用的 Accept-Language 字段的值相同，那么就直接从缓存返回响应。反之，则需要先从源服务器端获取资源后才能作为响应返回

其实就是标识用什么东西来决定当前已缓存的内容是否可用。

WWW-Authenticate:

WWW-Authenticate: Basic realm="Usagidesign Auth"

首部字段 WWW-Authenticate 用于 HTTP 访问认证。它会告知客户端适用于访问请求 URI 所指定资源的认证方案（Basic 或是 Digest）和带参数提示的质询（challenge）。

实体首部字段：

实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首部，用于补充内容的更新时间等与实体相关的信息。

Allow:

首部字段 Allow 用于通知客户端能够支持 Request-URI 指定资源的所有 HTTP 方法。当服务器接收到不支持的 HTTP 方法时，会以状态码405 Method Not Allowed 作为响应返回。与此同时，还会把所有能支持的 HTTP 方法写入首部字段 Allow 后返回。

Content-Encoding:

首部字段 Content-Encoding 会告知客户端服务器对实体的主体部分选用的内容编码方式

内容编码目的是优化传输内容大小，通俗地讲就是进行压缩

Content-Length:

首部字段 Content-Length 表明了实体主体部分的大小（单位是字节）

Content-Location:

Content-Location: http://www.hackr.jp/index-ja.html

首部字段 Content-Location 给出与报文主体部分相对应的 URI。和首部字段 Location 不同，Content-Location 表示的是报文主体返回资源对应的 URI

Location指定的是一个重定向请求的目的地址（或者新创建的文件的URL）

Content-MD5:

Content-MD5: OGFkZDUwNGVhNGY3N2MxMDIwZmQ4NTBmY2IyTY==

首部字段 Content-MD5 是一串由 MD5 算法生成的值，其目的在于检查报文主体在传输过程中是否保持完整，以及确认传输到达

Content-Range:

针对范围请求，返回响应时使用的首部字段 Content-Range，能告知客户端作为响应返回的实体的哪个部分符合范围请求

Content-Type:

Content-Type: text/html; charset=UTF-8

首部字段 Content-Type 说明了实体主体内对象的媒体类型

Expires:

首部字段 Expires 会将资源失效的日期告知客户端。缓存服务器在接收到含有首部字段 Expires 的响应后，会以缓存来应答请求，在Expires 字段值指定的时间之前，响应的副本会一直被保存。当超过指定的时间后，缓存服务器在请求发送过来时，会转向源服务器请求资源。

Last-Modified:

首部字段 Last-Modified 指明资源最终修改的时间。一般来说，这个值就是 Request-URI 指定资源被修改的时间

为Cookie服务的首部字段：

Cookie 的工作机制是用户识别及状态管理。Web 网站为了管理用户的状态会通过 Web 浏览器，把一些数据临时写入用户的计算机内。接着当用户访问该Web网站时，可通过通信方式取回之前发放的Cookie。

调用 Cookie 时，由于可校验 Cookie 的有效期，以及发送方的域、路径、协议等信息，所以正规发布的 Cookie 内的数据不会因来自其他Web 站点和攻击者的攻击而泄露。

Set-Cookie:

Set-Cookie字段的属性：

cookie关于domain和path的设置可以参考：https://www.cnblogs.com/lcchuguo/p/5146361.html