HTTP 回應標頭列表
每個 HTTP 回應都有一組標頭。這篇文章旨在列出所有這些標頭,並對它們進行描述。
每個 HTTP 回應都可以有一組標頭。
這篇文章旨在列出所有這些標頭,並對它們進行描述。
- 標準標頭
Accept-Patch
Accept-Ranges
Age
Allow
Alt-Svc
Cache-Control
Connection
Content-Disposition
Content-Encoding
Content-Language
Content-Length
Content-Location
Content-Range
Content-Type
Date
Delta-Base
ETag
Expires
IM
Last-Modified
Link
Location
Pragma
Proxy-Authenticate
Public-Key-Pins
Retry-After
Server
Set-Cookie
Strict-Transport-Security
Trailer
Transfer-Encoding
Tk
Upgrade
Vary
Via
Warning
WWW-Authenticate
- CORS 標頭
- 非標準標頭
標準標頭
Accept-Patch
Accept-Patch: text/example;charset=utf-8
指定此服務器支援的修補文件格式。
Accept-Ranges
Accept-Ranges: bytes
指示這個伺服器通過字節給服務支援哪些部分內容範圍類型。
Age
Age: 12
對象在代理快取中的存放時間,以秒為單位。
Allow
Allow: GET, HEAD
指定指定資源的有效方法。用於 405 方法不允許的情況。
Alt-Svc
Alt-Svc: http/1.1= "http2.example.com:8001"; ma=7200
服務器使用 “Alt-Svc” 標頭(意味著替代服務)來表示其資源也可以在不同的網絡位置(主機或端口)或使用不同的協議訪問。使用 HTTP/2 時,服務器應該使用 ALTSVC 帧。
Cache-Control
1 | Cache-Control: max-age=3600 |
如果使用 no-cache
,Cache-Control
標頭可以告訴瀏覽器在未先檢查 ETag 值的情況下,永遠不要使用緩存版本的資源。
max-age
以秒為單位。
更為嚴格的 no-store
選項告訴瀏覽器(和所有中間網絡設備)甚至不要將資源存儲在其緩存中:
1 | Cache-Control: no-store |
Connection
Connection: close
控制當前連接的選項和逐跳響應字段列表。在 HTTP/2 中已棄用。
Content-Disposition
Content-Disposition: attachment; filename="file.txt"
為已知的二進制格式 MIME 類型資源提供“文件下載”對話框的機會,或為動態內容提供建議的文件名稱。特殊字符需要使用引號。
Content-Encoding
Content-Encoding: gzip
用於數據的編碼類型。參見 HTTP 壓縮。
Content-Language
Content-Language: en
對封裝內容的預期用戶群體的自然語言或語言。
Content-Length
Content-Length: 348
以 8 位位元組表示的回應主體長度。
Content-Location
Content-Location: /index.htm
返回數據的替代位置。
Content-Range
Content-Range: bytes 21010-47021/47022
指出此部分訊息在完整訊息中的位置。
Content-Type
Content-Type: text/html; charset=utf-8
此內容的 MIME 類型。
Date
Date: Tue, 15 Nov 1994 08:12:31 GMT
消息發送的日期和時間(以 RFC 7231 定義的 “HTTP-date” 格式)。
Delta-Base
Delta-Base: "abc"
指定回應的增量編碼實體標籤。
ETag
ETag: "737060cd8c284d8a[...]"
特定版本資源的標識符,通常是消息摘要。
Expires
Expires: Sat, 01 Dec 2018 16:00:00 GMT
指定在此之後回應被認為是過期的日期/時間(以 RFC 7231 定義的 “HTTP-date” 格式)。
IM
IM: feed
應用於回應的實例操作。
Last-Modified
Last-Modified: Mon, 15 Nov 2017 12:00:00 GMT
所請求對象的上次修改日期(以 RFC 7231 定義的 “HTTP-date” 格式)。
Link
Link: </feed>; rel="alternate"
用於表示與另一個資源的類型化關聯的標頭,其中關聯類型由 RFC 5988 定義。
Location
Location: /pub/WWW/People.html
在重定向或創建新資源時使用。
Pragma
Pragma: no-cache
此處有可能對在請求-響應鏈中的任何位置都可能產生不同影響的特定實作領域。
Proxy-Authenticate
Proxy-Authenticate: Basic
要求進行認證以訪問代理。
Public-Key-Pins
HTTP 公鑰留置(HPKP),宣告網站正確 TLS 憑證的哈希值。
Retry-After
Retry-After: 120
Retry-After: Fri, 07 Nov 2014 23:59:59 GMT
如果實體暫時不可用,這指示客戶端稍後再試。值可以是指定的時間段(以秒為單位)或 HTTP-日期。
Server
Server: Apache/2.4.1 (Unix)
伺服器的名稱。
Set-Cookie
Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1
HTTP cookie。
Strict-Transport-Security
Strict-Transport-Security: max-age=16070400; includeSubDomains
HSTS 策略,通知 HTTP 客戶端要將僅 HTTPS 的策略緩存多長時間,並且這是否適用於子域。
Trailer
Trailer: Max-Forwards
Trailer
一般字段值表明在使用分塊傳輸編碼編碼的消息的尾端中存在的給定一組標頭字段。
Transfer-Encoding
Transfer-Encoding: chunked
用於安全地傳輸實體給用戶的編碼形式。目前定義的方法有:chunked、compress、deflate、gzip、identity。在 HTTP/2 中已棄用。
Tk
Tk: ?
追踪狀態標頭,建議在回應對 DNT(不跟踪)發送的情況下發送的值,可能的值:“!” - 正在建設中,“?” - 動態,”G“ - 多方案的閘道,“N” - 不跟踪,“T” - 跟踪,“C” - 只有在同意的情況下跟踪,“P” - 只在有同意的情況下跟踪,“D” - 不理會 DNT,“U” - 已更新。
Upgrade
Upgrade: h2c, HTTPS/1.3, IRC/6.9, RTA/x11, websocket
要求客戶端升級到另一個協議。在 HTTP/2 中已棄用。
Vary
Vary: Accept-Language
Vary: *
告訴下游代理如何匹配未來的請求標頭,以決定是否可以使用緩存的回應,而無需從源服務器重新請求新的回應。
Via
Via: 1.0 fred, 1.1 example.com (Apache/1.1)
通知客戶端發送回應的代理。
Warning
Warning: 199 Miscellaneous warning
有關實體主體可能存在問題的一般警告。
WWW-Authenticate
WWW-Authenticate: Basic
指示應使用哪種驗證方案來訪問請求的實體。
CORS 標頭
Access-Control-Allow-Origin
Access-Control-Allow-Credentials
Access-Control-Expose-Headers
Access-Control-Max-Age
Access-Control-Allow-Methods
Access-Control-Allow-Headers
非標準標頭
Content-Security-Policy
Refresh
Refresh: 10;http://www.example.org/
在一個以秒為單位的任意延遲後重定向到一個 URL。
X-Powered-By
X-Powered-By: Brain/0.6b
服務器用於發送它們的名稱和版本。
X-Request-ID
允許服務器傳遞客戶端可以發送回來以讓服務器關聯請求的請求 ID。
X-UA-Compatible
設置要使用的 Internet Explorer 兼容層的版本。僅在需要支持 IE8 或 IE9 時使用。詳見 StackOverflow
X-XSS-Protection
現已被 Content-Security-Policy
標頭取代,在舊版本的瀏覽器中用於在檢測到 XSS 攻擊時停止頁面加載。
tags: [“HTTP”, “HTTP Response”, “response headers”, “CORS”, “non-standard headers”, “Content-Security-Policy”, “Refresh”, “X-Powered-By”, “X-Request-ID”, “X-UA-Compatible”, “X-XSS-Protection”]