HTTP协议
简介:
超文本传输协议,80端口
特点:
1、支持客户端/服务器模式
2、简单快速
3、灵活
4、无状态
请求报文:
| 开始行 | |
| 首部 | |
| 一个空行 | |
| 主体 |
响应报文:
| 状态行 | HTTP/版本 状态码 状态短语 |
| 首部 | |
| 一个空行 | |
| 主体 |
请求字段
| 协议头字段名 | 说明 | 示例 | 状态 |
|---|---|---|---|
| Accept | 能够接受的回应内容类型(Content-Types) | Accept: text/plain | 常设 |
| Accept-Charset | 能够接受的字符集 | Accept-Charset: utf-8 | 常设 |
| Accept-Encoding | 能够接受的编码方式列表 | Accept-Encoding: gzip, deflate | 常设 |
| Accept-Language | 能够接受的回应内容的自然语言列表。 | Accept-Language: en-US | 常设 |
| Authorization | 用于超文本传输协议的认证的认证信息 | Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== | 常设 |
| Cache-Control | 用来指定在这次的请求/响应链中的所有缓存机制都必须遵守的指令 | Cache-Control: no-cache | 常设 |
| Connection | 该浏览器想要优先使用的连接类型 | Connection: keep-alive Connection: Upgrade | 常设 |
| Content-Length | 以八位字节数组 (8位的字节)表示的请求体的长度 | Content-Length: 348 | 常设 |
| Content-Type | 请求体的格式 (用于POST和PUT请求中) | Content-Type: application/x-www-form-urlencoded | 常设 |
| Date | 发送该消息的日期和时间(按照 RFC 7231 中定义的”超文本传输协议日期”格式来发送) | Date: Tue, 15 Nov 1994 08:12:31 GMT | 常设 |
| Expect | 表明客户端要求服务器做出特定的行为 | Expect: 100-continue | 常设 |
| From | 发起此请求的用户的邮件地址 | From: [email protected] | 常设 |
| Host | 服务器的域名(用于虚拟主机 ),以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口,则端口号可被省略。 自超文件传输协议版本1.1(HTTP/1.1)开始便是必需字段。 | Host: en.wikipedia.org:80 Host: en.wikipedia.org | 常设 |
| If-Match | 仅当客户端提供的实体与服务器上对应的实体相匹配时,才进行对应的操作。主要作用时,用作像 PUT 这样的方法中,仅当从用户上次更新某个资源以来,该资源未被修改的情况下,才更新该资源。 | If-Match: “737060cd8c284d8af7ad3082f209582d” | 常设 |
| If-Modified-Since | 允许在对应的内容未被修改的情况下返回304未修改( 304 Not Modified ) | If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT | 常设 |
| If-None-Match | 允许在对应的内容未被修改的情况下返回304未修改( 304 Not Modified ) | If-None-Match: “737060cd8c284d8af7ad3082f209582d” | 常设 |
| If-Range | 如果该实体未被修改过,则向我发送我所缺少的那一个或多个部分;否则,发送整个新的实体 | If-Range: “737060cd8c284d8af7ad3082f209582d” | 常设 |
| If-Unmodified-Since | 仅当该实体自某个特定时间已来未被修改的情况下,才发送回应。 | If-Unmodified-Since: Sat, 29 Oct 1994 19:43:31 GMT | 常设 |
| Max-Forwards | 限制该消息可被代理及网关转发的次数。 | Max-Forwards: 10 | 常设 |
| Proxy-Authorization | 用来向代理进行认证的认证信息。 | Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== | 常设 |
| Range | 仅请求某个实体的一部分。字节偏移以0开始。 | Range: bytes=500-999 | 常设 |
| Referer | 表示浏览器所访问的前一个页面,正是那个页面上的某个链接将浏览器带到了当前所请求的这个页面。 | Referer: http://en.wikipedia.org/wiki/Main_Page | 常设 |
| TE | 浏览器预期接受的传输编码方式:可使用回应协议头 Transfer-Encoding 字段中的值;另外还可用”trailers”(与”分块 “传输方式相关)这个值来表明浏览器希望在最后一个尺寸为0的块之后还接收到一些额外的字段。 | TE: trailers, deflate | 常设 |
| User-Agent | 浏览器的身份标识字符串 | User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/21.0 | 常设 |
| Upgrade | 要求服务器升级到另一个协议。 | Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11 | 常设 |
| Via | 向服务器告知,这个请求是由哪些代理发出的。 | Via: 1.0 fred, 1.1 example.com (Apache/1.1) | 常设 |
| Warning | 一个一般性的警告,告知,在实体内容体中可能存在错误。 | Warning: 199 Miscellaneous warning | 常设 |
| Cookie | 之前由服务器通过 Set-Cookie发送的一个超文本传输协议Cookie | Cookie: $Version=1; Skin=new; | 常设: 标准 |
| Origin | 跳转来源域名(要求服务器在回应中加入一个‘访问控制-允许来源’(’Access-Control-Allow-Origin’)字段)。 | Origin: http://www.example-social-network.com | 常设: 标准 |
| Pragma | 与具体的实现相关,这些字段可能在请求/回应链中的任何时候产生多种效果。 | Pragma: no-cache | 常设但不常用 |
| Content-MD5 | 请求体的内容的二进制 MD5 散列值,以 Base64 编码的结果 | Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== | 过时的 |
| Accept-Datetime | 能够接受的按照时间来表示的版本 | Accept-Datetime: Thu, 31 May 2007 20:35:00 GMT | 临时 |
常见的非标准请求字段
| 字段名 | 说明 | 示例 |
|---|---|---|
| X-Requested-With | 主要用于标识 Ajax 及可扩展标记语言 请求。大部分的JavaScript框架会发送这个字段,且将其值设置为 XMLHttpRequest | X-Requested-With: XMLHttpRequest |
| DNT | 请求某个网页应用程序停止跟踪某个用户。在火狐浏览器中,相当于X-Do-Not-Track协议头字段(自 Firefox/4.0 Beta 11 版开始支持)。Safari 和 Internet Explorer 9 也支持这个字段。2011年3月7日,草案提交IETF。万维网协会 的跟踪保护工作组正在就此制作一项规范。 | DNT: 1 (DNT启用) DNT: 0 (DNT被禁用) |
| X-Forwarded-For | 一个事实标准 ,用于标识某个通过超文本传输协议代理或负载均衡连接到某个网页服务器的客户端的原始互联网地址 | X-Forwarded-For: client1, proxy1, proxy2 X-Forwarded-For: 129.78.138.66, 129.78.64.103 |
| X-Forwarded-Host | 一个事实标准 ,用于识别客户端原本发出的 Host 请求头部。 | X-Forwarded-Host: en.wikipedia.org:80 X-Forwarded-Host: en.wikipedia.org |
| X-Forwarded-Proto | 一个事实标准,用于标识某个超文本传输协议请求最初所使用的协议。 | X-Forwarded-Proto: https |
| Front-End-Https | 被微软的服务器和负载均衡器所使用的非标准头部字段。 | Front-End-Https: on |
| X-Http-Method-Override | 请求某个网页应用程序使用该协议头字段中指定的方法(一般是PUT或DELETE)来覆盖掉在请求中所指定的方法(一般是POST)。当某个浏览器或防火墙阻止直接发送PUT 或DELETE 方法时(注意,这可能是因为软件中的某个漏洞,因而需要修复,也可能是因为某个配置选项就是如此要求的,因而不应当设法绕过),可使用这种方式。 | X-HTTP-Method-Override: DELETE |
| X-ATT-DeviceId | 使服务器更容易解读AT&T设备User-Agent字段中常见的设备型号、固件信息。 | X-Att-Deviceid: GT-P7320/P7320XXLPG |
| X-Wap-Profile | 链接到互联网上的一个XML文件,其完整、仔细地描述了正在连接的设备。右侧以为AT&T Samsung Galaxy S2提供的XML文件为例。 | x-wap-profile: http://wap.samsungmobile.com/uaprof/SGH-I777.xml |
| Proxy-Connection | 该字段源于早期超文本传输协议版本实现中的错误。与标准的连接(Connection)字段的功能完全相同。 | Proxy-Connection: keep-alive |
| X-Csrf-Token | 用于防止 跨站请求伪造。 辅助用的头部有 X-CSRFToken或 X-XSRF-TOKEN | X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql |
响应字段
| 字段名 | 说明 | 例子 | 状态 |
|---|---|---|---|
| Accept-Patch | 指定服务器支持的文件格式类型。 | Accept-Patch: text/example;charset=utf-8 | 常设 |
| Accept-Ranges | 这个服务器支持哪些种类的部分内容范围 | Accept-Ranges: bytes | 常设 |
| Age | 这个对象在代理缓存中存在的时间,以秒为单位 | Age: 12 | 常设 |
| Allow | 对于特定资源有效的动作。针对HTTP/405这一错误代码而使用 | Allow: GET, HEAD | 常设 |
| Cache-Control | 向从服务器直到客户端在内的所有缓存机制告知,它们是否可以缓存这个对象。其单位为秒 | Cache-Control: max-age=3600 | 常设 |
| Connection | 针对该连接所预期的选项 | Connection: close | 常设 |
| Content-Disposition | 一个可以让客户端下载文件并建议文件名的头部。文件名需要用双引号包裹。 | Content-Disposition: attachment; filename=”fname.ext” | 常设 |
| Content-Encoding | 在数据上使用的编码类型。参考 超文本传输协议压缩 。 | Content-Encoding: gzip | 常设 |
| Content-Language | 内容所使用的语言 | Content-Language: da | 常设 |
| Content-Length | 回应消息体的长度,以字节(8位为一字节)为单位 | Content-Length: 348 | 常设 |
| Content-Location | 所返回的数据的一个候选位置 | Content-Location: /index.htm | 常设 |
| Content-Range | 这条部分消息是属于某条完整消息的哪个部分 | Content-Range: bytes 21010-47021/47022 | 常设 |
| Content-Type | 当前内容的MIME类型 | Content-Type: text/html; charset=utf-8 | 常设 |
| Date | 此条消息被发送时的日期和时间(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示) | Date: Tue, 15 Nov 1994 08:12:31 GMT | 常设 |
| ETag | 对于某个资源的某个特定版本的一个标识符,通常是一个 消息散列 | ETag: “737060cd8c284d8af7ad3082f209582d” | 常设 |
| Last-Modified | 所请求的对象的最后修改日期(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示) | Last-Modified: Tue, 15 Nov 1994 12:45:26 GMT | 常设 |
| Link | 用来表达与另一个资源之间的类型关系,此处所说的类型关系是在 RFC 5988 中定义的 | Link: ; rel=”alternate” | 常设 |
| Location | 用来进行重定向,或者在创建了某个新资源时使用。 | Location: http://www.w3.org/pub/WWW/People.html | 常设 |
| P3P | 用于支持设置P3P策略,标准格式为“P3P:CP=”your_compact_policy””。然而P3P规范并不成功,大部分现代浏览器没有完整实现该功能,而大量网站也将该值设为假值,从而足以用来欺骗浏览器的P3P插件功能并授权给第三方Cookies。 | P3P: CP=”This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info.” | 常设 |
| Pragma | 与具体的实现相关,这些字段可能在请求/回应链中的任何时候产生多种效果。 | Pragma: no-cache | 常设 |
| Proxy-Authenticate | 要求在访问代理时提供身份认证信息。 | Proxy-Authenticate: Basic | 常设 |
| Public-Key-Pins | 用于缓解中间人攻击,声明网站认证使用的传输层安全协议证书的散列值 | Public-Key-Pins: max-age=2592000; pin-sha256=”E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g=”; | 常设 |
| Retry-After | 如果某个实体临时不可用,则,此协议头用来告知客户端日后重试。其值可以是一个特定的时间段(以秒为单位)或一个超文本传输协议日期。 | Example 1: Retry-After: 120 Example 2: Retry-After: Fri, 07 Nov 2014 23:59:59 GMT | 常设 |
| Server | 服务器的名字 | Server: Apache/2.4.1 (Unix) | 常设 |
| Trailer | 这个头部数值指示了在这一系列头部信息由由分块传输编码编码。 | Trailer: Max-Forwards | 常设 |
| Transfer-Encoding | 用来将实体安全地传输给用户的编码形式。当前定义的方法包括:分块(chunked)、compress、deflate、gzip和identity。 | Transfer-Encoding: chunked | 常设 |
| Upgrade | 要求客户端升级到另一个协议。 | Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11 | 常设 |
| Vary | 告知下游的代理服务器,应当如何对未来的请求协议头进行匹配,以决定是否可使用已缓存的回应内容而不是重新从原始服务器请求新的内容。 | Vary: * | 常设 |
| Via | 告知代理服务器的客户端,当前回应是通过什么途径发送的。 | Via: 1.0 fred, 1.1 example.com (Apache/1.1) | 常设 |
| Warning | 一般性的警告,告知在实体内容体中可能存在错误。 | Warning: 199 Miscellaneous warning | 常设 |
| WWW-Authenticate | 表明在请求获取这个实体时应当使用的认证模式。 | WWW-Authenticate: Basic | 常设 |
| Expires | 指定一个日期/时间,超过该时间则认为此回应已经过期 | Expires: Thu, 01 Dec 1994 16:00:00 GMT | 常设: 标准 |
| Set-Cookie | HTTP cookie | Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1 | 常设: 标准 |
| Strict-Transport-Security | HTTP 严格传输安全这一头部告知客户端缓存这一强制 HTTPS 策略的时间,以及这一策略是否适用于其子域名。 | Strict-Transport-Security: max-age=16070400; includeSubDomains | 常设: 标准 |
| Content-MD5 | 回应内容的二进制 MD5 散列,以 Base64 方式编码 | Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== | 过时的 |
| X-Frame-Options | 点击劫持保护: deny:该页面不允许在 frame 中展示,即使是同域名内。 sameorigin:该页面允许同域名内在 frame 中展示。 allow-from uri:该页面允许在指定uri的 frame 中展示。 allowall:允许任意位置的frame显示,非标准值。 | X-Frame-Options: deny | 过时的 |
| Access-Control-Allow-Origin | 指定哪些网站可参与到跨来源资源共享过程中 | Access-Control-Allow-Origin: * | 临时 |
| Refresh | 用于设定可定时的重定向跳转。右边例子设定了5秒后跳转至“http://www.w3.org/pub/WWW/People.html”。 | Refresh: 5; url=http://www.w3.org/pub/WWW/People.html | 专利并非标准 Netscape实现的扩展,但大部分网页浏览器也支持。 |
| Status | 通用网关接口 协议头字段,用来说明当前这个超文本传输协议回应的 状态 。普通的超文本传输协议回应,会使用单独的“状态行”(”Status-Line”)作为替代,这一点是在 RFC 7230 中定义的。 | Status: 200 OK | Not listed as a registered field name |
常见的非标准回应字段
| 字段名 | 说明 | 示例 |
|---|---|---|
| X-XSS-Protection | 跨站脚本攻击 (XSS)过滤器 | X-XSS-Protection: 1; mode=block |
| Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP | 内容安全策略定义。 | X-WebKit-CSP: default-src ‘self’ |
| X-Content-Type-Options | 唯一允许的数值为”nosniff”,防止 Internet Explorer 对文件进行MIME类型嗅探。这也对 Google Chrome 下载扩展时适用。 | X-Content-Type-Options: nosniff |
| X-Powered-By | 表明用于支持当前网页应用程序的技术(例如:PHP)(版本号细节通常放置在 X-Runtime 或 X-Version 中) | X-Powered-By: PHP/5.4.0 |
| X-UA-Compatible | 推荐指定的渲染引擎(通常是向后兼容模式)来显示内容。也用于激活 Internet Explorer 中的 Chrome Frame。 | X-UA-Compatible: IE=EmulateIE7 X-UA-Compatible: IE=edge X-UA-Compatible: Chrome=1 |
| X-Content-Duration | 指出音视频的长度,单位为秒。只受Gecko内核浏览器支持。 | X-Content-Duration: 42.666 |
| Feature-Policy | 管控特定应用程序接口 | Feature-Policy: vibrate ‘none’; geolocation ‘none’ |
| Permissions-Policy | 管控特定应用程序接口为W3C标准 替代Feature-Policy | Permissions-Policy: microphone=(),geolocation=(),camera=() |
| X-Permitted-Cross-Domain-Policies | Flash的跨网站攻击防御 | X-Permitted-Cross-Domain-Policies: none |
| Referrer-Policy | 保护信息泄漏 | Referrer-Policy: origin-when-cross-origin |
| Expect-CT | 防止欺骗 SSL,单位为秒 | Expect-CT: max-age=31536000, enforce |
X-Forwarder-For
60.12.15.50(出口ip) ->45.67.45.32(代理ip) -> 1114.114.114.114(目的ip)
X-Forwarder-For: 60.12.15.50,45.67.45.32(可伪造,进行SQL注入)
CLIENT_IP: 60.12.15.50
REMOTE_IP: 45.67.45.32
HTTP响应码
| 状态码 | 状态码英文名称 | 中文描述 |
|---|---|---|
| 1** | 信息,服务器收到请求,需要请求者继续执行操作 | |
| 100 | Continue | 继续。客户端应继续其请求 |
| 101 | Switching Protocols | 切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议,例如,切换到HTTP的新版本协议 |
| 2** | 成功,操作被成功接收并处理 | |
| 200 | OK | 请求成功。一般用于GET与POST请求 |
| 201 | Created | 已创建。成功请求并创建了新的资源 |
| 202 | Accepted | 已接受。已经接受请求,但未处理完成 |
| 203 | Non-Authoritative Information | 非授权信息。请求成功。但返回的meta信息不在原始的服务器,而是一个副本 |
| 204 | No Content | 无内容。服务器成功处理,但未返回内容。在未更新网页的情况下,可确保浏览器继续显示当前文档 |
| 205 | Reset Content | 重置内容。服务器处理成功,用户终端(例如:浏览器)应重置文档视图。可通过此返回码清除浏览器的表单域 |
| 206 | Partial Content | 部分内容。服务器成功处理了部分GET请求 |
| 3** | 重定向,需要进一步的操作以完成请求 | |
| 300 | Multiple Choices | 多种选择。请求的资源可包括多个位置,相应可返回一个资源特征与地址的列表用于用户终端(例如:浏览器)选择 |
| 301 | Moved Permanently | 永久移动。请求的资源已被永久的移动到新URI,返回信息会包括新的URI,浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替 |
| 302 | Found | 临时移动。与301类似。但资源只是临时被移动。客户端应继续使用原有URI |
| 303 | See Other | 查看其它地址。与301类似。使用GET和POST请求查看 |
| 304 | Not Modified | 未修改。所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。客户端通常会缓存访问过的资源,通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源 |
| 305 | Use Proxy | 使用代理。所请求的资源必须通过代理访问 |
| 306 | Unused | 已经被废弃的HTTP状态码 |
| 307 | Temporary Redirect | 临时重定向。与302类似。使用GET请求重定向 |
| 4** | 客户端错误,请求包含语法错误或无法完成请求 | |
| 400 | Bad Request | 客户端请求的语法错误,服务器无法理解 |
| 401 | Unauthorized | 请求要求用户的身份认证 |
| 402 | Payment Required | 保留,将来使用 |
| 403 | Forbidden | 服务器理解请求客户端的请求,但是拒绝执行此请求(文件夹是存在的) |
| 404 | Not Found | 服务器无法根据客户端的请求找到资源(网页)。通过此代码,网站设计人员可设置”您所请求的资源无法找到”的个性页面(客户端请求文件或文件夹不存在) |
| 405 | Method Not Allowed | 客户端请求中的方法被禁止 |
| 406 | Not Acceptable | 服务器无法根据客户端请求的内容特性完成请求 |
| 407 | Proxy Authentication Required | 请求要求代理的身份认证,与401类似,但请求者应当使用代理进行授权 |
| 408 | Request Time-out | 服务器等待客户端发送的请求时间过长,超时 |
| 409 | Conflict | 服务器完成客户端的 PUT 请求时可能返回此代码,服务器处理请求时发生了冲突 |
| 410 | Gone | 客户端请求的资源已经不存在。410不同于404,如果资源以前有现在被永久删除了可使用410代码,网站设计人员可通过301代码指定资源的新位置 |
| 411 | Length Required | 服务器无法处理客户端发送的不带Content-Length的请求信息 |
| 412 | Precondition Failed | 客户端请求信息的先决条件错误 |
| 413 | Request Entity Too Large | 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息 |
| 414 | Request-URI Too Large | 请求的URI过长(URI通常为网址),服务器无法处理 |
| 415 | Unsupported Media Type | 服务器无法处理请求附带的媒体格式 |
| 416 | Requested range not satisfiable | 客户端请求的范围无效 |
| 417 | Expectation Failed | 服务器无法满足Expect的请求头信息 |
| 5** | 服务器错误,服务器在处理请求的过程中发生了错误 | |
| 500 | Internal Server Error | 服务器内部错误,无法完成请求 |
| 501 | Not Implemented | 服务器不支持请求的功能,无法完成请求 |
| 502 | Bad Gateway | 作为网关或者代理工作的服务器尝试执行请求时,从远程服务器接收到了一个无效的响应 |
| 503 | Service Unavailable | 由于超载或系统维护,服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中 |
| 504 | Gateway Time-out | 充当网关或代理的服务器,未及时从远端服务器获取请求 |
| 505 | HTTP Version not supported | 服务器不支持请求的HTTP协议的版本,无法完成处理 |