http状态码以及请求响应头相关

时间 2019-11-30

原文原文链接

1xx消息[编辑]

这一类型的状态码，表明请求已被接受，须要继续处理。这类响应是临时响应，只包含状态行和某些可选的响应头信息，并以空行结束。因为HTTP/1.0协议中没有定义任何1xx状态码，因此除非在某些试验条件下，服务器禁止向此类客户端发送1xx响应。这些状态码表明的响应都是信息性的，标示客户应该采起的其余行动。php

100 Continue: 客户端应当继续发送请求。这个临时响应是用来通知客户端它的部分请求已经被服务器接收，且仍未被拒绝。客户端应当继续发送请求的剩余部分，或者若是请求已经完成，忽略这个响应。服务器必须在请求完成后向客户端发送一个最终响应。

101 Switching Protocols: 服务器已经理解了客户端的请求，并将经过Upgrade消息头通知客户端采用不一样的协议来完成这个请求。在发送完这个响应最后的空行后，服务器将会切换到在Upgrade消息头中定义的那些协议。; 只有在切换新的协议更有好处的时候才应该采起相似措施。例如，切换到新的HTTP版本（如 HTTP/2）比旧版本更有优点，或者切换到一个实时且同步的协议以传送利用此类特性的资源。

102 Processing: 由 WebDAV（ RFC 2518）扩展的状态码，表明处理将被继续执行。

2xx成功[编辑]

这一类型的状态码，表明请求已成功被服务器接收、理解、并接受。html

200 OK: 请求已成功，请求所但愿的响应头或数据体将随此响应返回。

201 Created: 请求已经被实现，并且有一个新的资源已经依据请求的须要而建立，且其 URI已经随Location头信息返回。假如须要的资源没法及时建立的话，应当返回' 202 Accepted'。

202 Accepted: 服务器已接受请求，但还没有处理。正如它可能被拒绝同样，最终该请求可能会也可能不会被执行。在异步操做的场合下，没有比发送这个状态码更方便的作法了。; 返回202状态码的响应的目的是容许服务器接受其余过程的请求（例如某个天天只执行一次的基于批处理的操做），而没必要让客户端一直保持与服务器的链接直到批处理操做所有完成。在接受请求处理并返回202状态码的响应应当在返回的实体中包含一些指示处理当前状态的信息，以及指向处理状态监视器或状态预测的指针，以便用户可以估计操做是否已经完成。

203 Non-Authoritative Information: 服务器已成功处理了请求，但返回的实体头部元信息不是在原始服务器上有效的肯定集合，而是来自本地或者第三方的拷贝。当前的信息多是原始版本的子集或者超集。例如，包含资源的元数据可能致使原始服务器知道元信息的超集。使用此状态码不是必须的，并且只有在响应不使用此状态码便会返回 200 OK的状况下才是合适的。

204 No Content: 服务器成功处理了请求，但不须要返回任何实体内容，而且但愿返回更新了的元信息。响应可能经过实体头部的形式，返回新的或更新后的元信息。若是存在这些头部信息，则应当与所请求的变量相呼应。; 若是客户端是浏览器的话，那么用户浏览器应保留发送了该请求的页面，而不产生任何文档视图上的变化，即便按照规范新的或更新后的元信息应当被应用到用户浏览器活动视图中的文档。; 因为204响应被禁止包含任何消息体，所以它始终以消息头后的第一个空行结尾。

205 Reset Content: 服务器成功处理了请求，且没有返回任何内容。可是与 204响应不一样，返回此状态码的响应要求请求者重置文档视图。该响应主要是被用于接受用户输入后，当即重置表单，以便用户可以轻松地开始另外一次输入。; 与204响应同样，该响应也被禁止包含任何消息体，且以消息头后的第一个空行结束。

206 Partial Content

服务器已经成功处理了部分GET请求。相似于 FlashGet或者迅雷这类的HTTP 下载工具都是使用此类响应实现断点续传或者将一个大文档分解为多个下载段同时下载。

该请求必须包含Range头信息来指示客户端但愿获得的内容范围，而且可能包含If-Range来做为请求条件。

响应必须包含以下的头部域：

Content-Range用以指示本次响应中返回的内容的范围；若是是Content-Type为multipart/byteranges的多段下载，则每一multipart段中都应包含Content-Range域用以指示本段的内容范围。假如响应中包含Content-Length，那么它的数值必须匹配它返回的内容范围的真实字节数。
Date
ETag和／或Content-Location，假如一样的请求本应该返回200响应。
Expires, Cache-Control，和／或Vary，假如其值可能与以前相同变量的其余响应对应的值不一样的话。

假如本响应请求使用了If-Range强缓存验证，那么本次响应不该该包含其余实体头；假如本响应的请求使用了If-Range弱缓存验证，那么本次响应禁止包含其余实体头；这避免了缓存的实体内容和更新了的实体头信息之间的不一致。不然，本响应就应当包含全部本应该返回200响应中应当返回的全部实体头部域。

假如ETag或Last-Modified头部不能精确匹配的话，则客户端缓存应禁止将206响应返回的内容与以前任何缓存过的内容组合在一块儿。

任何不支持Range以及Content-Range头的缓存都禁止缓存206响应返回的内容。

207 Multi-Status: 由WebDAV( RFC 2518)扩展的状态码，表明以后的消息体将是一个 XML消息，而且可能依照以前子请求数量的不一样，包含一系列独立的响应代码。

3xx重定向[编辑]

这类状态码表明须要客户端采起进一步的操做才能完成请求。一般，这些状态码用来重定向，后续的请求地址（重定向目标）在本次响应的Location域中指明。jquery

当且仅当后续的请求所使用的方法是GET或者HEAD时，用户浏览器才能够在没有用户介入的状况下自动提交所须要的后续请求。客户端应当自动监测无限循环重定向（例如：A→B→C→……→A或A→A），由于这会致使服务器和客户端大量没必要要的资源消耗。按照HTTP/1.0版规范的建议，浏览器不该自动访问超过5次的重定向。web

300 Multiple Choices: 被请求的资源有一系列可供选择的回馈信息，每一个都有本身特定的地址和浏览器驱动的商议信息。用户或浏览器可以自行选择一个首选的地址进行重定向。; 除非这是一个HEAD请求，不然该响应应当包括一个资源特性及地址的列表的实体，以便用户或浏览器从中选择最合适的重定向地址。这个实体的格式由Content-Type定义的格式所决定。浏览器可能根据响应的格式以及浏览器自身能力，自动做出最合适的选择。固然，RFC 2616规范并无规定这样的自动选择该如何进行。; 若是服务器自己已经有了首选的回馈选择，那么在Location中应当指明这个回馈的 URI；浏览器可能会将这个Location值做为自动重定向的地址。此外，除非额外指定，不然这个响应也是可缓存的。

301 Moved Permanently: 被请求的资源已永久移动到新位置，而且未来任何对此资源的引用都应该使用本响应返回的若干个URI之一。若是可能，拥有连接编辑功能的客户端应当自动把请求的地址修改成从服务器反馈回来的地址。除非额外指定，不然这个响应也是可缓存的。; 新的永久性的URI应当在响应的Location域中返回。除非这是一个HEAD请求，不然响应的实体中应当包含指向新的URI的超连接及简短说明。; 若是这不是一个GET或者HEAD请求，所以浏览器禁止自动进行重定向，除非获得用户的确认，由于请求的条件可能所以发生变化。; 注意：对于某些使用HTTP/1.0协议的浏览器，当它们发送的POST请求获得了一个301响应的话，接下来的重定向请求将会变成GET方式。

302 Found: 请求的资源如今临时从不一样的URI响应请求。因为这样的重定向是临时的，客户端应当继续向原有地址发送之后的请求。只有在Cache-Control或Expires中进行了指定的状况下，这个响应才是可缓存的。; 新的临时性的URI应当在响应的Location域中返回。除非这是一个HEAD请求，不然响应的实体中应当包含指向新的URI的超连接及简短说明。; 若是这不是一个GET或者HEAD请求，那么浏览器禁止自动进行重定向，除非获得用户的确认，由于请求的条件可能所以发生变化。; 注意：虽然RFC 1945和RFC 2068规范不容许客户端在重定向时改变请求的方法，可是不少现存的浏览器将302响应视做为 303响应，而且使用GET方式访问在Location中规定的URI，而无视原先请求的方法。状态码303和 307被添加了进来，用以明确服务器期待客户端进行何种反应。

303 See Other: 对应当前请求的响应能够在另外一个URI上被找到，并且客户端应当采用GET的方式访问那个资源。这个方法的存在主要是为了容许由脚本激活的POST请求输出重定向到一个新的资源。这个新的URI不是原始资源的替代引用。同时，303响应禁止被缓存。固然，第二个请求（重定向）可能被缓存。; 新的URI应当在响应的Location域中返回。除非这是一个HEAD请求，不然响应的实体中应当包含指向新的URI的超连接及简短说明。; 注意：许多HTTP/1.1版之前的浏览器不能正确理解303状态。若是须要考虑与这些浏览器之间的互动， 302状态码应该能够胜任，由于大多数的浏览器处理302响应时的方式偏偏就是上述规范要求客户端处理303响应时应当作的。

304 Not Modified

若是客户端发送了一个带条件的GET请求且该请求已被容许，而文档的内容（自上次访问以来或者根据请求的条件）并无改变，则服务器应当返回这个状态码。304响应禁止包含消息体，所以始终以消息头后的第一个空行结尾。

该响应必须包含如下的头信息：

Date，除非这个服务器没有时钟。假如没有时钟的服务器也遵照这些规则，那么代理服务器以及客户端能够自行将Date字段添加到接收到的响应头中去（正如RFC 2068中规定的同样），缓存机制将会正常工做。
ETag和／或Content-Location，假如一样的请求本应返回200响应。
Expires, Cache-Control，和／或Vary，假如其值可能与以前相同变量的其余响应对应的值不一样的话。

假如本响应请求使用了强缓存验证，那么本次响应不该该包含其余实体头；不然（例如，某个带条件的GET请求使用了弱缓存验证），本次响应禁止包含其余实体头；这避免了缓存了的实体内容和更新了的实体头信息之间的不一致。

假如某个304响应指明了当前某个实体没有缓存，那么缓存系统必须忽视这个响应，而且重复发送不包含限制条件的请求。

假如接收到一个要求更新某个缓存条目的304响应，那么缓存系统必须更新整个条目以反映全部在响应中被更新的字段的值。

305 Use Proxy: 被请求的资源必须经过指定的代理才能被访问。Location域中将给出指定的代理所在的URI信息，接收者须要重复发送一个单独的请求，经过这个代理才能访问相应资源。只有原始服务器才能建立305响应。; 注意：RFC 2068中没有明确305响应是为了重定向一个单独的请求，并且只能被原始服务器建立。忽视这些限制可能致使严重的安全后果。

306 Switch Proxy: 在最新版的规范中，306状态码已经再也不被使用。

307 Temporary Redirect: 请求的资源如今临时从不一样的URI响应请求。因为这样的重定向是临时的，客户端应当继续向原有地址发送之后的请求。只有在Cache-Control或Expires中进行了指定的状况下，这个响应才是可缓存的。; 新的临时性的URI应当在响应的Location域中返回。除非这是一个HEAD请求，不然响应的实体中应当包含指向新的URI的超连接及简短说明。由于部分浏览器不能识别307响应，所以须要添加上述必要信息以便用户可以理解并向新的URI发出访问请求。; 若是这不是一个GET或者HEAD请求，那么浏览器禁止自动进行重定向，除非获得用户的确认，由于请求的条件可能所以发生变化。

4xx客户端错误[编辑]

这类的状态码表明了客户端看起来可能发生了错误，妨碍了服务器的处理。除非响应的是一个HEAD请求，不然服务器就应该返回一个解释当前错误情况的实体，以及这是临时的仍是永久性的情况。这些状态码适用于任何请求方法。浏览器应当向用户显示任何包含在此类错误响应中的实体内容。数组

若是错误发生时客户端正在传送数据，那么使用TCP的服务器实现应当仔细确保在关闭客户端与服务器之间的链接以前，客户端已经收到了包含错误信息的数据包。若是客户端在收到错误信息后继续向服务器发送数据，服务器的TCP栈将向客户端发送一个重置数据包，以清除该客户端全部还未识别的输入缓冲，以避免这些数据被服务器上的应用程序读取并干扰后者。浏览器

400 Bad Request: 因为包含语法错误，当前请求没法被服务器理解。除非进行修改，不然客户端不该该重复提交这个请求。

401 Unauthorized: 当前请求须要用户验证。该响应必须包含一个适用于被请求资源的WWW-Authenticate信息头用以询问用户信息。客户端能够重复提交一个包含恰当的Authorization头信息的请求。若是当前请求已经包含了Authorization证书，那么401响应表明着服务器验证已经拒绝了那些证书。若是401响应包含了与前一个响应相同的身份验证询问，且浏览器已经至少尝试了一次验证，那么浏览器应当向用户展现响应中包含的实体信息，由于这个实体信息中可能包含了相关诊断信息。参见RFC 2617。

402 Payment Required: 该状态码是为了未来可能的需求而预留的。

403 Forbidden: 服务器已经理解请求，可是拒绝执行它。与 401响应不一样的是，身份验证并不能提供任何帮助，并且这个请求也不该该被重复提交。若是这不是一个HEAD请求，并且服务器但愿可以讲清楚为什么请求不能被执行，那么就应该在实体内描述拒绝的缘由。固然服务器也能够返回一个 404响应，假如它不但愿让客户端得到任何信息。

404 Not Found: 请求失败，请求所但愿获得的资源未被在服务器上发现。没有信息可以告诉用户这个情况究竟是暂时的仍是永久的。假如服务器知道状况的话，应当使用 410状态码来告知旧资源由于某些内部的配置机制问题，已经永久的不可用，并且没有任何能够跳转的地址。404这个状态码被普遍应用于当服务器不想揭示到底为什么请求被拒绝或者没有其余适合的响应可用的状况下。

405 Method Not Allowed: 请求行中指定的请求方法不能被用于请求相应的资源。该响应必须返回一个Allow头信息用以表示出当前资源可以接受的请求方法的列表。; 鉴于PUT，DELETE方法会对服务器上的资源进行写操做，于是绝大部分的网页服务器都不支持或者在默认配置下不容许上述请求方法，对于此类请求均会返回405错误。

406 Not Acceptable: 请求的资源的内容特性没法知足请求头中的条件，于是没法生成响应实体。; 除非这是一个HEAD请求，不然该响应就应当返回一个包含可让用户或者浏览器从中选择最合适的实体特性以及地址列表的实体。实体的格式由Content-Type头中定义的媒体类型决定。浏览器能够根据格式及自身能力自行做出最佳选择。可是，规范中并无定义任何做出此类自动选择的标准。

407 Proxy Authentication Required: 与 401响应相似，只不过客户端必须在代理服务器上进行身份验证。代理服务器必须返回一个Proxy-Authenticate用以进行身份询问。客户端能够返回一个Proxy-Authorization信息头用以验证。参见RFC 2617。

408 Request Timeout: 请求超时。客户端没有在服务器预备等待的时间内完成一个请求的发送。客户端能够随时再次提交这一请求而无需进行任何更改。

409 Conflict: 因为和被请求的资源的当前状态之间存在冲突，请求没法完成。这个代码只容许用在这样的状况下才能被使用：用户被认为可以解决冲突，而且会从新提交新的请求。该响应应当包含足够的信息以便用户发现冲突的源头。; 冲突一般发生于对PUT请求的处理中。例如，在采用版本检查的环境下，某次PUT提交的对特定资源的修改请求所附带的版本信息与以前的某个（第三方）请求向冲突，那么此时服务器就应该返回一个409错误，告知用户请求没法完成。此时，响应实体中极可能会包含两个冲突版本之间的差别比较，以便用户从新提交归并之后的新版本。

410 Gone: 被请求的资源在服务器上已经再也不可用，并且没有任何已知的转发地址。这样的情况应当被认为是永久性的。若是可能，拥有连接编辑功能的客户端应当在得到用户许可后删除全部指向这个地址的引用。若是服务器不知道或者没法肯定这个情况是不是永久的，那么就应该使用 404状态码。除非额外说明，不然这个响应是可缓存的。; 410响应的目的主要是帮助网站管理员维护网站，通知用户该资源已经再也不可用，而且服务器拥有者但愿全部指向这个资源的远端链接也被删除。这类事件在限时、增值服务中很广泛。一样，410响应也被用于通知客户端在当前服务器站点上，本来属于某个我的的资源已经再也不可用。固然，是否须要把全部永久不可用的资源标记为'410 Gone'，以及是否须要保持此标记多长时间，彻底取决于服务器拥有者。

411 Length Required: 服务器拒绝在没有定义Content-Length头的状况下接受请求。在添加了代表请求消息体长度的有效Content-Length头以后，客户端能够再次提交该请求。

412 Precondition Failed: 服务器在验证在请求的头字段中给出先决条件时，没能知足其中的一个或多个。这个状态码容许客户端在获取资源时在请求的元信息（请求头字段数据）中设置先决条件，以此避免该请求方法被应用到其但愿的内容之外的资源上。

413 Request Entity Too Large: 服务器拒绝处理当前请求，由于该请求提交的实体数据大小超过了服务器愿意或者可以处理的范围。此种状况下，服务器能够关闭链接以避免客户端继续发送此请求。; 若是这个情况是临时的，服务器应当返回一个Retry-After的响应头，以告知客户端能够在多少时间之后从新尝试。

414 Request-URI Too Long

请求的URI长度超过了服务器可以解释的长度，所以服务器拒绝对该请求提供服务。这比较少见，一般的状况包括：

本应使用POST方法的表单提交变成了GET方法，致使查询字符串（Query String）过长。
重定向URI“黑洞”，例如每次重定向把旧的URI做为新的URI的一部分，致使在若干次重定向后URI超长。
客户端正在尝试利用某些服务器中存在的安全漏洞攻击服务器。这类服务器使用固定长度的缓冲读取或操做请求的URI，当GET后的参数超过某个数值后，可能会产生缓冲区溢出，致使任意代码被执行^[1]。没有此类漏洞的服务器，应当返回414状态码。

415 Unsupported Media Type: 对于当前请求的方法和所请求的资源，请求中提交的实体并非服务器中所支持的格式，所以请求被拒绝。

416 Requested Range Not Satisfiable: 若是请求中包含了Range请求头，而且Range中指定的任何数据范围都与当前资源的可用范围不重合，同时请求中又没有定义If-Range请求头，那么服务器就应当返回416状态码。; 假如Range使用的是字节范围，那么这种状况就是指请求指定的全部数据范围的首字节位置都超过了当前资源的长度。服务器也应当在返回416状态码的同时，包含一个Content-Range实体头，用以指明当前资源的长度。这个响应也被禁止使用multipart/byteranges做为其Content-Type。

417 Expectation Failed: 在请求头Expect中指定的预期内容没法被服务器知足，或者这个服务器是一个代理服务器，它有明显的证据证实在当前路由的下一个节点上，Expect的内容没法被知足。

418 I'm a teapot: 本操做码是在1998年做为 IETF的传统愚人节笑话, 在RFC 2324 超文本咖啡壶控制协议中定义的，并不须要在真实的HTTP服务器中定义。当一个控制茶壶的 HTCPCP收到BREW或POST指令要求其煮咖啡时应当回传此错误。

421 There are too many connections from your internet address: 从当前客户端所在的 IP地址到服务器的链接数超过了服务器许可的最大范围。一般，这里的IP地址指的是从服务器上看到的客户端地址（好比用户的网关或者代理服务器地址）。在这种状况下，链接数的计算可能涉及到不止一个终端用户。

422 Unprocessable Entity: 请求格式正确，可是因为含有语义错误，没法响应。（ RFC 4918 WebDAV）

423 Locked: 当前资源被锁定。（ RFC 4918 WebDAV）

424 Failed Dependency: 因为以前的某个请求发生的错误，致使当前请求失败，例如PROPPATCH。（ RFC 4918 WebDAV）

425 Unordered Collection: 在 WebDav Advanced Collections草案中定义，可是未出如今《WebDAV顺序集协议》（ RFC 3658）中。

426 Upgrade Required: 客户端应当切换到 TLS/1.0。（ RFC 2817）

449 Retry With: 由微软扩展，表明请求应当在执行完适当的操做后进行重试。

451 Unavailable For Legal Reasons: 由 IETF核准，表明该访问因法律的要求而被拒绝。 ^[2] ^[3]

5xx服务器错误[编辑]

这类状态码表明了服务器在处理请求的过程当中有错误或者异常状态发生，也有多是服务器意识到以当前的软硬件资源没法完成对请求的处理。除非这是一个HEAD请求，不然服务器应当包含一个解释当前错误状态以及这个情况是临时的仍是永久的解释信息实体。浏览器应当向用户展现任何在当前响应中被包含的实体。缓存

这些状态码适用于任何响应方法。安全

500 Internal Server Error: 服务器遇到了一个不曾预料的情况，致使了它没法完成对请求的处理。通常来讲，这个问题都会在服务器的程序码出错时出现。

501 Not Implemented: 服务器不支持当前请求所须要的某个功能。当服务器没法识别请求的方法，而且没法支持其对任何资源的请求。

502 Bad Gateway: 做为网关或者代理工做的服务器尝试执行请求时，从上游服务器接收到无效的响应。

503 Service Unavailable: 因为临时的服务器维护或者过载，服务器当前没法处理请求。这个情况是临时的，而且将在一段时间之后恢复。若是可以预计延迟时间，那么响应中能够包含一个Retry-After头用以标明这个延迟时间。若是没有给出这个Retry-After信息，那么客户端应当以处理 500响应的方式处理它。

504 Gateway Timeout: 做为网关或者代理工做的服务器尝试执行请求时，未能及时从上游服务器（URI标识出的服务器，例如 HTTP、 FTP、 LDAP）或者辅助服务器（例如 DNS）收到响应。; 注意：某些代理服务器在DNS查询超时时会返回 400或者 500错误。

505 HTTP Version Not Supported: 服务器不支持，或者拒绝支持在请求中使用的HTTP版本。这暗示着服务器不能或不肯使用与客户端相同的版本。响应中应当包含一个描述了为什么版本不被支持以及服务器支持哪些协议的实体。

506 Variant Also Negotiates: 由《透明内容协商协议》（ RFC 2295）扩展，表明服务器存在内部配置错误：被请求的协商变元资源被配置为在透明内容协商中使用本身，所以在一个协商处理中不是一个合适的重点。

507 Insufficient Storage: 服务器没法存储完成请求所必须的内容。这个情况被认为是临时的。（ WebDAV RFC 4918）

509 Bandwidth Limit Exceeded: 服务器达到带宽限制。这不是一个官方的状态码，可是仍被普遍使用。

510 Not Extended

获取资源所须要的策略并无被知足。（ RFC 2774）

基本格式[编辑]

协议头的字段，是在请求（request）或回复（response）那一行（这是一条消息的第一行内容）内容以后传输的。协议头的字段，是以明文的字符串格式传输的，以冒号分隔的键名/值对，最后以回车(CR)和换行(LF)符序列结尾。协议头部分的结束，是以一个空白的字段来标识的，结果就是，会传输两个连续的回车换行符对。在历史上，曾经会将狠长的文字行以多个短行的形式传输；在下一行的开头，输出一个空格(SP)或者一个水平制表符(HT)，表示它是一个后续行。现在，这种换行形式已经废弃了^[1]。服务器

字段名[编辑]

在由互联网工程任务组 (IETF)发行的征求修正意见书 7231 中，对一组核心的字段进行了标准化。有一份对于这些字段的官方的登记册，以及一系列的补充规范，由互联网号码分配局（IANA）维护。各个应用程序也能够自行定义额外的字段名字及相应的值。cookie

协议头的固定登记册和临时注册仓库是由互联网号码分配局维护的。按照惯例，对于非标准的协议头字段，是在字段名字前面加上 X- 前缀来标识的。然而，这一惯例在2012 年六月被废弃了，由于，按照这种惯例，当非标准字段变成标准字段时，会引发不少不方便之处。以前曾有的，对于 Downgraded- 的使用限制，也被取消了。

字段值[编辑]

某些字段中能够包含注释内容 ( 也就是说，在 User-Agent 、 Server 、 Via字段中 ) ，这些注释内容可被应用程序忽略。

不少字段值中都会带有带权重的（quality ( q )）键值对，这种权重会在内容协商的过程中使用。

大小限制[编辑]

标准中没有针对每一个协议头字段的名字和值的尺寸设置任何限制，也没有限制字段的个数。然而，出于实际场景及安全性的考虑，大部分的服务器、客户端和代理软件都会实施一些限制。例如，阿帕奇（Apache）2.3 服务器，在默认状况下，会限制每一个字段的尺寸不超过 8190字节，同时，单个请求中最多能够有 100 个协议头字段^[2]。

请求字段[编辑]

协议头字段名	说明	示例	状态
Accept	可以接受的回应内容类型（Content-Types）。参见内容协商。	`Accept: text/plain`	Permanent
Accept-Charset	可以接受的字符集	`Accept-Charset: utf-8`	Permanent
Accept-Encoding	可以接受的编码方式列表。参考超文本传输协议压缩。	`Accept-Encoding: gzip, deflate`	Permanent
Accept-Language	可以接受的回应内容的天然语言列表。参考内容协商。	`Accept-Language: en-US`	Permanent
Accept-Datetime	可以接受的按照时间来表示的版本	`Accept-Datetime: Thu, 31 May 2007 20:35:00 GMT`	Provisional
Authorization	用于超文本传输协议的认证的认证信息	`Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==`	Permanent
Cache-Control	用来指定在此次的请求/回复链中的全部缓存机制都必须遵照的指令	`Cache-Control: no-cache`	Permanent
Connection	该浏览器想要优先使用的链接类型 ^[3]	`Connection: keep-alive` `Connection: Upgrade`	Permanent
Cookie	以前由服务器经过 Set- Cookie （下文详述）发送的一个超文本传输协议Cookie	`Cookie: $Version=1; Skin=new;`	Permanent: standard
Content-Length	以八位字节数组（8位的字节）表示的请求体的长度	`Content-Length: 348`	Permanent
Content-MD5	请求体的内容的二进制 MD5 散列值，以 Base64 编码的结果	`Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==`	Obsolete^[4]
Content-Type	请求体的多媒体类型（用于POST和PUT请求中）	`Content-Type: application/x-www-form-urlencoded`	Permanent
Date	发送该消息的日期和时间(按照 RFC 7231 中定义的"超文本传输协议日期"格式来发送)	`Date: Tue, 15 Nov 1994 08:12:31 GMT`	Permanent
Expect	代表客户端要求服务器作出特定的行为	`Expect: 100-continue`	Permanent
From	发起此请求的用户的邮件地址	`From: user@example.com`	Permanent
Host	服务器的域名(用于虚拟主机 )，以及服务器所监听的传输控制协议端口号。若是所请求的端口是对应的服务的标准端口，则端口号可被省略。 ^[5] 自超文件传输协议版本1.1（HTTP/1.1）开始即是必需字段。	`Host: en.wikipedia.org:80` `Host: en.wikipedia.org`	Permanent
If-Match	仅当客户端提供的实体与服务器上对应的实体相匹配时，才进行对应的操做。主要做用时，用做像 PUT 这样的方法中，仅当从用户上次更新某个资源以来，该资源未被修改的状况下，才更新该资源。	`If-Match: "737060cd8c284d8af7ad3082f209582d"`	Permanent
If-Modified-Since	容许在对应的内容未被修改的状况下返回304未修改（ 304 Not Modified ）	`If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT`	Permanent
If-None-Match	容许在对应的内容未被修改的状况下返回304未修改（ 304 Not Modified ），参考超文本传输协议的实体标记	`If-None-Match: "737060cd8c284d8af7ad3082f209582d"`	Permanent
If-Range	若是该实体未被修改过，则向我发送我所缺乏的那一个或多个部分；不然，发送整个新的实体	`If-Range: "737060cd8c284d8af7ad3082f209582d"`	Permanent
If-Unmodified-Since	仅当该实体自某个特定时间已来未被修改的状况下，才发送回应。	`If-Unmodified-Since: Sat, 29 Oct 1994 19:43:31 GMT`	Permanent
Max-Forwards	限制该消息可被代理及网关转发的次数。	`Max-Forwards: 10`	Permanent
Origin	发起一个针对跨来源资源共享的请求（要求服务器在回应中加入一个‘访问控制-容许来源’（'Access-Control-Allow-Origin'）字段）。	`Origin: http://www.example-social-network.com`	Permanent: standard
Pragma	与具体的实现相关，这些字段可能在请求/回应链中的任什么时候候产生多种效果。	`Pragma: no-cache`	Permanent
Proxy-Authorization	用来向代理进行认证的认证信息。	`Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==`	Permanent
Range	仅请求某个实体的一部分。字节偏移以0开始。参考字节服务。	`Range: bytes=500-999`	Permanent
Referer [sic]	表示浏览器所访问的前一个页面，正是那个页面上的某个连接将浏览器带到了当前所请求的这个页面。(“引导者”（“referrer”）这个单词，在RFC 中被拼错了，所以在大部分的软件实现中也拼错了，以致于，错误的拼法成为了标准的用法，还被当成了正确的术语)	`Referer: http://en.wikipedia.org/wiki/Main_Page`	Permanent
TE	浏览器预期接受的传输编码方式：可以使用回应协议头Transfer-Encoding 字段中的那些值，另外还有一个值可用，"trailers"（与" 分块 "传输方式相关），用来代表，浏览器但愿在最后一个尺寸为0的块以后还接收到一些额外的字段。	`TE: trailers, deflate`	Permanent
User-Agent	浏览器的浏览器身份标识字符串	`User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:12.0) Gecko/20100101 Firefox/21.0`	Permanent
Upgrade	要求服务器升级到另外一个协议。	`Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11`	Permanent
Via	向服务器告知，这个请求是由哪些代理发出的。	`Via: 1.0 fred, 1.1 example.com (Apache/1.1)`	Permanent
Warning	一个通常性的警告，告知，在实体内容体中可能存在错误。	`Warning: 199 Miscellaneous warning`	Permanent

常见的非标准请求字段[编辑]

字段名	说明	示例
X-Requested-With	主要用于标识 Ajax 及可扩展标记语言请求。大部分的爪哇脚本框架会发送这个字段，且将其值设置为 XMLHttpRequest	`X-Requested-With: XMLHttpRequest`
DNT^[6]	请求某个网页应用程序中止跟踪某个用户。在火狐浏览器中，至关于X-Do-Not-Track协议头字段(自火狐4.0 测试（Beta） 11版开始支持)。 Safari 和 Internet Explorer 9 也支持这个字段。在2011 年三月7 日，有人向互联网工程任务组提交了一个草案。 ^[7] 万维网协会的跟踪保护工做组正在就此制做一项规范。^[8]	`DNT: 1 (Do Not Track Enabled)` `DNT: 0 (Do Not Track Disabled)`
X-Forwarded-For^[9]	一个事实标准，用于标识某个经过超文本传输协议代理或负载均衡链接到某个网页服务器的客户端的原始互联网地址	`X-Forwarded-For: client1, proxy1, proxy2` `X-Forwarded-For: 129.78.138.66, 129.78.64.103`
X-Forwarded-Host^[10]	a de facto standard for identifying the original host requested by the client in the `Host` HTTP request header, since the host name and/or port of the reverse proxy (load balancer) may differ from the origin server handling the request.	`X-Forwarded-Host: en.wikipedia.org:80` `X-Forwarded-Host: en.wikipedia.org`
X-Forwarded-Proto^[11]	一个事实标准用于标识某个超文本传输协议请求最初所使用的协议，由于，在反向代理(负载均衡)上，即便最初发往该反向代理的请求类型是安全的超文本传输协议（HTTPS），该反向代理也仍然可能会使用超文本传输协议（HTTP）来与网页服务器通讯。谷歌客户端在与谷歌服务器通讯时会使用该协议头的一个替代形式（X-ProxyUser-Ip）。	`X-Forwarded-Proto: https`
Front-End-Https^[12]	Non-standard header field used by Microsoft applications and load-balancers	`Front-End-Https: on`
X-Http-Method-Override^[13]	请求某个网页应用程序使用该协议头字段中指定的方法（通常是PUT或DELETE）来覆盖掉在请求中所指定的方法（通常是POST）。当某个浏览器或防火墙阻止直接发送PUT 或DELETE 方法时（注意，这多是由于软件中的某个漏洞，于是须要修复，也多是由于某个配置选项就是如此要求的，于是不该当设法绕过），可以使用这种方式。	`X-HTTP-Method-Override: DELETE`
X-ATT-DeviceId^[14]	Allows easier parsing of the MakeModel/Firmware that is usually found in the User-Agent String of AT&T Devices	`X-Att-Deviceid: GT-P7320/P7320XXLPG`
X-Wap-Profile^[15]	Links to an XML file on the Internet with a full description and details about the device currently connecting. In the example to the right is an XML file for an AT&T Samsung Galaxy S2.	`x-wap-profile:http://wap.samsungmobile.com/uaprof/SGH-I777.xml`
Proxy-Connection^[16]	由于对超文本传输协议规范的误解而实现的一个协议头。由于早期超文本传输协议版本实现中的错误而出现。与标准的链接（Connection）字段的功能彻底相同。	`Proxy-Connection: keep-alive`
X-UIDH^[17]^[18]^[19]	Server-side deep packet insertion of a unique ID identifying customers of Verizon Wireless; also known as "perma-cookie" or "supercookie"	`X-UIDH: ...`
X-Csrf-Token^[20]	Used to prevent cross-site request forgery. Alternative header names are: `X-CSRFToken`^[21] and `X-XSRF-TOKEN`^[22]	`X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql`

回应字段[编辑]

Field name	Description	Example	Status
Access-Control-Allow-Origin	指定哪些网站可参与到跨来源资源共享过程当中	`Access-Control-Allow-Origin: *`	Provisional
Accept-Patch^[23]	Specifies which patch document formats this server supports	`Accept-Patch: text/example;charset=utf-8`	Permanent
Accept-Ranges	这个服务器支持哪些种类的部份内容范围	`Accept-Ranges: bytes`	Permanent
Age	这个对象在代理缓存中存在的时间，以秒为单位	`Age: 12`	Permanent
Allow	对于特定资源有效的动做。针对405不容许该方法（ 405 Method not allowed ）而使用	`Allow: GET, HEAD`	Permanent
Cache-Control	向从服务器直到客户端在内的全部缓存机制告知，它们是否能够缓存这个对象。其单位为秒	`Cache-Control: max-age=3600`	Permanent
Connection	针对该链接所预期的选项 ^[3]	`Connection: close`	Permanent
Content-Disposition^[24]	An opportunity to raise a "File Download" dialogue box for a known MIME type with binary format or suggest a filename for dynamic content. Quotes are necessary with special characters.	`Content-Disposition: attachment; filename="fname.ext"`	Permanent
Content-Encoding	在数据上使用的编码类型。参考超文本传输协议压缩。	`Content-Encoding: gzip`	Permanent
Content-Language	内容所使用的语言 ^[25]	`Content-Language: da`	Permanent
Content-Length	回应消息体的长度，以字节（8位为一字节）为单位	`Content-Length: 348`	Permanent
Content-Location	所返回的数据的一个候选位置	`Content-Location: /index.htm`	Permanent
Content-MD5	回应内容的二进制 MD5 散列，以 Base64 方式编码	`Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==`	Obsolete^[26]
Content-Range	这条部分消息是属于某条完整消息的哪一个部分	`Content-Range: bytes 21010-47021/47022`	Permanent
Content-Type	当前内容的MIME类型	`Content-Type: text/html; charset=utf-8`	Permanent
Date	此条消息被发送时的日期和时间(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示)	`Date: Tue, 15 Nov 1994 08:12:31 GMT`	Permanent
ETag	对于某个资源的某个特定版本的一个标识符，一般是一个消息散列	`ETag: "737060cd8c284d8af7ad3082f209582d"`	Permanent
Expires	指定一个日期/时间，超过该时间则认为此回应已通过期	`Expires: Thu, 01 Dec 1994 16:00:00 GMT`	Permanent: standard
Last-Modified	所请求的对象的最后修改日期(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示)	`Last-Modified: Tue, 15 Nov 1994 12:45:26 GMT`	Permanent
Link	用来表达与另外一个资源之间的类型关系，此处所说的类型关系是在 RFC 5988 中定义的	`Link: </feed>; rel="alternate"`^[27]	Permanent
Location	用来进行重定向，或者在建立了某个新资源时使用。	`Location: http://www.w3.org/pub/WWW/People.html`	Permanent
P3P	This field is supposed to set P3P policy, in the form of`P3P:CP="your_compact_policy"`. However, P3P did not take off,^[28] most browsers have never fully implemented it, a lot of websites set this field with fake policy text, that was enough to fool browsers the existence of P3P policy and grant permissions for third party cookies.	`P3P: CP="This is not a P3P policy!` `See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."`	Permanent
Pragma	与具体的实现相关，这些字段可能在请求/回应链中的任什么时候候产生多种效果。	`Pragma: no-cache`	Permanent
Proxy-Authenticate	要求在访问代理时提供身份认证信息。	`Proxy-Authenticate: Basic`	Permanent
Public-Key-Pins^[29]	用于缓解中间人攻击，声明网站的认证用的传输层安全协议证书的散列值	`Public-Key-Pins: max-age=2592000; pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g=";`	Permanent
Refresh	Used in redirection, or when a new resource has been created. This refresh redirects after 5 seconds.	`Refresh: 5; url=http://www.w3.org/pub/WWW/People.html`	Proprietary and non-standard: a header extension introduced by Netscape and supported by most web browsers.
Retry-After	若是某个实体临时不可用，则，此协议头用来告知客户端往后重试。其值能够是一个特定的时间段(以秒为单位)或一个超文本传输协议日期。 ^[30]	Example 1: `Retry-After: 120` Example 2: `Retry-After: Fri, 07 Nov 2014 23:59:59 GMT`	Permanent
Server	服务器的名字	`Server: Apache/2.4.1 (Unix)`	Permanent
Set-Cookie	HTTP cookie	`Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1`	Permanent: standard
Status	通用网关接口协议头字段，用来讲明当前这个超文本传输协议回应的状态。普通的超文本传输协议回应，会使用单独的“状态行”（"Status-Line"）做为替代，这一点是在 RFC 7230 中定义的。 ^[31]	`Status: 200 OK`	Not listed as aregistered field name
Strict-Transport-Security	A HSTS Policy informing the HTTP client how long to cache the HTTPS only policy and whether this applies to subdomains.	`Strict-Transport-Security: max-age=16070400; includeSubDomains`	Permanent: standard
Trailer	The Trailer general field value indicates that the given set of header fields is present in the trailer of a message encoded with chunked transfer coding.	`Trailer: Max-Forwards`	Permanent
Transfer-Encoding	用来将实体安全地传输给用户的编码形式。当前定义的方法包括：分块、压缩（compress）、缩小（deflate）、压缩（gzip）、实体（identity）。	`Transfer-Encoding: chunked`	Permanent
Upgrade	要求客户端升级到另外一个协议。	`Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11`	Permanent
Vary	告知下游的代理服务器，应当如何对将来的请求协议头进行匹配，以决定是否可以使用已缓存的回应内容而不是从新从原始服务器请求新的内容。	`Vary: *`	Permanent
Via	告知代理服务器的客户端，当前回应是经过什么途径发送的。	`Via: 1.0 fred, 1.1 example.com (Apache/1.1)`	Permanent
Warning	通常性的警告，告知在实体内容体中可能存在错误。	`Warning: 199 Miscellaneous warning`	Permanent
WWW-Authenticate	代表在请求获取这个实体时应当使用的认证模式。	`WWW-Authenticate: Basic`	Permanent
X-Frame-Options^[32]	Clickjacking protection: `deny` - no rendering within a frame,`sameorigin` - no rendering if origin mismatch, `allow-from` - allow from specified location, `allowall` - non-standard, allow from any location	`X-Frame-Options: deny`	Obsolete^[33]

常见的非标准回应字段[编辑]

字段名	说明	示例
X-XSS-Protection^[34]	跨站脚本攻击 (XSS)过滤器	`X-XSS-Protection: 1; mode=block`
Content-Security-Policy,X-Content-Security-Policy,X-WebKit-CSP^[35]	内容安全策略定义。	`X-WebKit-CSP: default-src 'self'`
X-Content-Type-Options^[36]	The only defined value, "nosniff", prevents Internet Explorer from MIME-sniffing a response away from the declared content-type. This also applies to Google Chrome, when downloading extensions.^[37]	`X-Content-Type-Options: nosniff`
X-Powered-By^[38]	代表用于支持当前网页应用程序的技术（例如PHP）（版本号细节一般放置在 X-Runtime 或 X-Version 中）	`X-Powered-By: PHP/5.4.0`
X-UA-Compatible^[39]	Recommends the preferred rendering engine (often a backward-compatibility mode) to use to display the content. Also used to activate Chrome Frame in Internet Explorer.	`X-UA-Compatible: IE=EmulateIE7` `X-UA-Compatible: IE=edge` `X-UA-Compatible: Chrome=1`
X-Content-Duration^[40]	Provide the duration of the audio or video in seconds; only supported by Gecko browsers	`X-Content-Duration: 42.666`

http状态码 以及请求响应头相关