實體首部字段
①Allow:告知用戶端,伺服器能夠支援的所有HTTP方法
當伺服器收到不支援的HTTP方法請求時,就會傳回405 Method Not Allowed響應,并添加Allow首部
Allow:GET,HEAD
②Content-Encoding:告知用戶端,伺服器對實體主體部分使用的内容編碼方式
Content-Encoding:gzip
③Content-Language:告知用戶端,實體主體使用的自然語言類型
④Content-Length:表明實體主體的傳輸大小,機關為位元組
當對實體主體進行内容編碼時,傳輸長度跟消息的實體長度可能會不同,傳遞不正确的
Content-Length
值會導緻傳輸的資料被截斷或請求延遲,具體可以看看部落格1部落格2。當傳輸編碼方式為
chunked
分塊傳輸時,此字段被忽略部落格3
⑤Content-Location:表示封包主體傳回資源所對應的URI位址
Content-Location:https://www.zjw666.top/index.htm
⑥Content-MD5:對封包主體執行MD5算法後,經base64編碼獲得了一串值
用戶端在接收到帶有該字段的請求時,會對接收的封包主體再次執行相同的MD5算法,并将結果與接收的該字段值進行比對,以此來檢查封包主體在傳輸過程中是否完整。
由于MD5值也可能被篡改,則也不一定安全
⑦Content-Range:針對範圍請求,在響應中使用,告知用戶端傳回實體的哪個部分符合範圍請求
Content-Range:bytes 5001-10000/10000
⑧Content-Type:說明實體主體内對象的媒體類型
與Accept字段類似,字段值使用type/subtype指派
參數charset使用字元集指派
Content-Type:text/html; charset=UTF-8
⑨Expires:告知用戶端或緩存伺服器,傳回資源失效的日期時間
資源過期之後,相同的請求将會轉發給源伺服器
當首部字段Cache-Control中指定有max-age時,會忽略Expires
Expires:Wed, 04 Jul 2012 08:26:05 GMT
⑩Last-Modified:指明資源最終修改的日期時間
其他首部字段
①Set-Cookie:響應首部字段,伺服器準備開始管理用戶端狀态時,會事先告知各種資訊
屬性:
- NAME=VALUE 賦予Cookie的名稱和值,必需項
- expires=DATE 指定Cookie的過期日期時間,若不指定,則預設為浏覽器關閉時失效
- path=PATH 限制指定Cookie的發送範圍的檔案目錄,若不指定,則預設為文檔所在的檔案目錄
- domain=域名 作為Cookie适用對象的域名,若不指定,則預設為伺服器域名
- secure 限制Web頁面隻有在HTTPS安全連接配接時,才可以發送Cookie
- HttpOnly 使Javascript腳本無法擷取Cookie,主要目的是為了防止跨站腳本供給XSS
Set-Cookie:status=enable;expires=Wed, 04 Jul 2012 08:26:05 GMT; path=/; domain=.zjw666.top; secure; HttpOnly
②Cookie:請求首部字段,當用戶端想獲得HTTP狀态管理支援時,就會在請求中包含從伺服器收到的Cookie,可以同時發送多個Cookie
Cookie:status=enable
③X-Frame-Options:響應首部字段,用于控制網站内容在是否可以在Web網站的Frame等标簽内的顯示問題,防止點選劫持
clickjacking
可選值:
- DENY 拒絕
- SAMEORIGIN 僅允許同源域名下所有頁面的frame标簽加載該頁面
- allow-from https://example.com/
④X-XSS-Protection:響應首部字段,控制浏覽器XSS防護機制開關
可選值:
- 0 防護關閉
- 1 防護開啟
⑤DNT:請求首部字段,Do Not Track 拒絕個人資訊被收集
可選值:
- 0 同意被追蹤
- 1 拒絕被追蹤