HTTP网络协议(三）

HTTP首部字段有四种类型：通用首部字段，请求首部字段，响应首部字段，实体首部字段。 
通用首部字段：

首部字段说明Cache-Control控制缓存的行为Connection逐跳首部、连接的管理Date创建报文的日期时间Pragma报文指令Trailer报文末端的首部一览Transfer-Encoding指定报文主体的传输编码方式Upgrade升级为其他协议Via代理服务器的相关信息Warning错误通知

请求首部字段：

首部字段说明Accept用户代理的媒体类型Accept-Charset优先的字符集Accept-Encoding优先的内容编码Accept-Language优先的语言AuthorizationWeb认证信息Expect期待服务器的特定行为From用户的电子邮件Host请求资源所在服务器if-Match比较实体标记(ETag)if-Modified-Since比较资源的更新时间if-None-Match比较实体标记(与if-Match相反)if-Range资源未更新时发送实体Byte的范围请求if-Unmodified-Since比较资源的更新时间(与if-Modified-Since想法)Max-Forwards最大传输逐跳Proxy-Authorization代理服务器要求客户端的认证信息Range实体的字节范围请求Refer对请求中URI的原始获取方TE传输编码的优先级User-AgentHTTP客户端的信息

响应首部字段：

首部字段说明Accept-Ranges是否接受字节范围请求Age推算资源创建经过时间ETag资源匹配信息Location令客户端重定向至指定URIProxy-Authenticate代理服务器对客户端的认证信息Retry-After对再次发起请求的时机要求ServerHTTP服务器的安装信息Vary代理服务器缓存的管理信息WWW-Authenticate服务器对客户端的认证信息

实体首部字段：

首部字段说明Allow资源可支持的HTTP方法Content-Encod实体主体适用的编码方式Content-Language实体主体的自然语言Content-Length实体主体的大小Content-Location替代对饮资源的URIContent-MD5实体主体的报文摘要Content-Range实体主体的位置范围Content-Type实体主体的媒体类型Expires实体主体过期的日期时间Last-Modified资源的最后修改日期时间

HTTP首部字段将定义成缓存代理和非缓存代理两种类型： 
端到端(End-to-end Header):此类中的首部字段会转发给请求/响应对应的最终接受目标，且必须在由缓存生成的响应中，另外规定它必须被转发。 
逐跳首部(Hop-by-hop Header):此类中的首部只对单次转发有效，会因通过缓存或代理而不再转发。如：Connection,Keep-Alive,Upgrade,Proxy-Authenticate,Proxy-Authorization等。 
当有多个指令参数时，多个指令之间可通过”,”分隔，例如首部字段Cache-Control： 
Cache-Control: private,max-age=0,no-cache 
Cache-Control指令一览： 
缓存请求指令：

指令参数说明no-cache无强制向源服务器再次验证no-store无不缓存请求或响应的任何内容max-age=[秒]必需响应的最大Age值max-stale=[秒]可省略接受已过的响应min-fresh=[秒]必需期望在指定时间内的响应仍有效no-transform无代理不可更改媒体类型only-if-cache无从缓存获取资源cache-extension-新指令标记

缓存响应指令：

指令参数说明public无可向任意方提供响应的缓存private可省略仅向特定用户返回响应no-cache可省略缓存前必须先确认其有效性no-store无不缓存请求或响应的任何内容no-transform无代理不可更改媒体类型msut-revalidate无可缓存但必须再向源服务器进行确认proxy-revalidate无要求中间缓存服务器对缓存的响应有效性再进行确认max-age=[秒]必需响应的最大Age值s-maxage=[秒]必需公共缓存服务器响应的最大Age值cache-extension-新指令标记[token]

Connection首部字段有两个作用：

• 控制不再转发给代理的首部字段，如：Connection：不再转发的首部字段名.
• 管理持久化连接，HTTP/1.1默认是持久连接，如果想断开连接，可以用Connection: Close. 
  
  首部字段Upgrade用于检测HTTP协议及其他协议是否可使用更高的版本进行通信，其参数值可以用来指定一个完全不同的通信协议，不过产生对象仅限于客户端和邻接服务器之间。 
  首部字段Warning来告知用户一些与缓存相关的问题的警告，其格式：Warning：[警告码][警告的主机：端口号][警告内容]([日期时间])。 
  警告码：

警告码警告内容说明110Response is stale（响应已过期）代理返回已过期的资源111Revalidation failed（再验证失败）代理再验证资源有效性时失败（服务器无法到达等原因）112Disconnection operation（断开连接操作）代理与互联网连接被故意切断113Heuristic expiration（试探性过期）响应的使用其超过24小时（有效缓存的设定时间大于24小时的情况下）199Miscellaneous warning（杂项警告）任意的警告内容214Transformation applied（使用了转换）代理对内容编码或媒体类型等执行了某些处理时299Miscellaneous persistent warning（持久杂项警告）任意的警告内容

首部字段Accept可以指定媒体类型以及优先级，如：Accept: text/html;q=0.9,text/css;q=0.3. 
常见几种媒体类型： 
文件文本： 
text/html,text/plain,text/css,application/xhtml+xml,application/xml… 
图片文件： 
image/jpeg,image/gif,image/png… 
视频文件： 
video/mpeg,video/quicktime… 
应用程序使用的二进制文件： 
application/octet-stream,application/zip… 
若想要给Accept开头的首部字段的参数增加优先级，可以使用q=来额外表示，用分号(;)进行分隔，权重值q的范围是0~1，默认权重为1，权重越大就越优先。 
If-Match首部字段它会告知服务器匹配资源所用的实体标记ETag值，只有两者一致才会执行请求，而ETag值会随服务器资源更新而更新。 
If-Modified-Since首部字段指定的日期时间之后，如果请求的资源有更新则接受请求，没有则返回304状态码。 
If-None-Match首部字段指定的标记值若与请求资源的ETag值不一致时，服务器就接受请求。 
If-Range首部字段指定的值若是跟ETag值一致时，那么就根据范围返回请求资源，否则返回全体请求资源（这相当于指定范围无效）。 
If-Unmodified-Since首部字段告知请求资源在其字段指定的值时间之后，为发生更新的情况下，才能处理请求。 
Referer首部字段会告知服务器请求的原始资源的URI，其实就是从某个网站向服务器资源请求的URI，比如：你在百度URIwww.baidu.com点击链接http://blog.csdn.NET/xuguoli_beyondboy跳转到这个页面，那么Referer首部字段就是指定这个www.baidu.comURI。 
Age首部字段告知客户端，源服务器在多久前创建了响应，单位为秒，但若创建该响应的服务器是缓存服务器，Age就是指缓存后的响应再次发起认证到认证完成的时间值。 
Retry-After首部字段会告知客户端应该在多久之后再次发送请求。 
Vary首部字段：从代理服务器接收到源服务器返回包含Vary指定项的响应之后，仅对请求中含有相同Vary指定首部字段的请求返回缓存，否则代理服务器需先从源服务器端获取资源后才能作为响应返回(即使对相同资源发起请求)。 

首部字段WWW-Authenticate用于HTTP访问认证，它会告知客户端适用于访问请求URI所指定资源的认证方案(Basic或Digest)和带参数提示的质询。 
Content-Loaction首部字段表示的是报文主体返回资源对应的URI。 
Content-MD5首部字段在于检查报文主体在传输过程中是否保持完整，以及确认传输到达，其过程如下： 
服务器对报文主体执行MD5算法获得的128位二进制数，再通过Base64编码后将结果写入Content-MD5字段值，为确保报文的有效性，客户端对报文主体再执行一次相同的MD5算法，计算出的值与Content-MD5首部字段的值相比较，即可判断出报文主体的准确性。 
Expires首部字段：如果请求还在Expires字段值指定的时间之前，则会返回缓存的该资源，当超过其时间之后，发送来的请求将会转向源服务器请求资源。 
Cookie首部字段：

首部字段说明首部类型Set-Cookie开始状态管理所使用的Cookie信息响应首部字段Cookie服务器接收到的Cookie信息请求首部字段

Set-Cookie字段属性：

属性说明NAME=VALUE赋予Cookie的名称和值（必需项 ）expires=DATECookie的有效期（若不明确指定则默认为浏览器关闭前为止）path=PATH将服务器上的文件目录为Cookie的使用对象（若不指定则默认为文档所在的文件目录）domain=域名作为Cookie使用对象的域名（若不指定则默认为创建Cookie的服务器的域名）Secure仅在HTTPS安全通信时才会发送CookieHttpOnly加以限制，使Cookie不能被JavaScript脚本访问

X-Frame-Options首部字段用于控制网站内容在其他Web网站的Frame标签内的显示问题，不过目的主要是为了防止点击劫持攻击，其两个属性： 
DENT:拒绝 
SAMEORIGN：仅同源域名下的页面匹配时许可，比如：当指定http:/hackr.jp/sample.html页面为SAMEORIGN时，那么hackr .jp上所有的页面的frame都被许可加载该页面，而example.com等其他域名的页面就不行了。 
X-XSS-Protection首部字段是针对跨站脚本攻击的一种对策，用于控制浏览器XSS防护机制的开关，属性值如下： 
0：将XSS过滤设置成无效状态。 
1：将XSS过滤设置成有效状态。 
DNT首部字段用来拒绝个人信息被收集，常表示拒绝被精准广告追踪的一种方法，属性值如下： 
0：同意被追踪 
1：拒绝被追踪 
P3P首部字段可用来保护用户隐私。