From 33058f2b292b3a581333bdfb21b8f671898c5060 Mon Sep 17 00:00:00 2001 From: Peter Bengtsson Date: Tue, 8 Dec 2020 14:40:17 -0500 Subject: initial commit --- .../web/http/headers/accept-ch-lifetime/index.html | 71 +++ files/zh-cn/web/http/headers/accept-ch/index.html | 57 +++ .../web/http/headers/accept-charset/index.html | 90 ++++ .../web/http/headers/accept-encoding/index.html | 117 +++++ .../web/http/headers/accept-language/index.html | 93 ++++ .../zh-cn/web/http/headers/accept-patch/index.html | 85 ++++ .../web/http/headers/accept-ranges/index.html | 74 +++ files/zh-cn/web/http/headers/accept/index.html | 85 ++++ .../access-control-allow-credentials/index.html | 94 ++++ .../access-control-allow-headers/index.html | 134 +++++ .../access-control-allow-methods/index.html | 84 ++++ .../headers/access-control-allow-origin/index.html | 83 ++++ .../access-control-expose-headers/index.html | 102 ++++ .../http/headers/access-control-max-age/index.html | 78 +++ .../access-control-request-headers/index.html | 68 +++ .../access-control-request-method/index.html | 69 +++ files/zh-cn/web/http/headers/age/index.html | 73 +++ files/zh-cn/web/http/headers/allow/index.html | 61 +++ files/zh-cn/web/http/headers/alt-svc/index.html | 57 +++ .../web/http/headers/authorization/index.html | 87 ++++ .../web/http/headers/cache-control/index.html | 184 +++++++ .../web/http/headers/clear-site-data/index.html | 108 ++++ files/zh-cn/web/http/headers/connection/index.html | 55 +++ .../http/headers/content-disposition/index.html | 138 ++++++ .../web/http/headers/content-encoding/index.html | 98 ++++ .../web/http/headers/content-language/index.html | 103 ++++ .../web/http/headers/content-length/index.html | 63 +++ .../web/http/headers/content-location/index.html | 70 +++ .../web/http/headers/content-range/index.html | 87 ++++ .../content-security-policy-report-only/index.html | 141 ++++++ .../content-security-policy/base-uri/index.html | 106 ++++ .../block-all-mixed-content/index.html | 58 +++ .../content-security-policy/child-src/index.html | 89 ++++ .../content-security-policy/connect-src/index.html | 114 +++++ .../content-security-policy/default-src/index.html | 151 ++++++ .../content-security-policy/font-src/index.html | 99 ++++ .../content-security-policy/form-action/index.html | 102 ++++ .../frame-ancestors/index.html | 110 +++++ .../headers/content-security-policy/index.html | 226 +++++++++ .../content-security-policy/report-to/index.html | 82 +++ .../require-sri-for/index.html | 70 +++ .../content-security-policy/sandbox/index.html | 99 ++++ .../script-src-elem/index.html | 87 ++++ .../upgrade-insecure-requests/index.html | 84 ++++ .../content-security-policy/worker-src/index.html | 92 ++++ .../zh-cn/web/http/headers/content-type/index.html | 118 +++++ files/zh-cn/web/http/headers/cookie/index.html | 72 +++ files/zh-cn/web/http/headers/cookie2/index.html | 57 +++ .../cross-origin-embedder-policy/index.html | 89 ++++ .../cross-origin-resource-policy/index.html | 72 +++ files/zh-cn/web/http/headers/date/index.html | 86 ++++ .../web/http/headers/device-memory/index.html | 78 +++ files/zh-cn/web/http/headers/digest/index.html | 90 ++++ files/zh-cn/web/http/headers/dnt/index.html | 88 ++++ files/zh-cn/web/http/headers/dpr/index.html | 57 +++ files/zh-cn/web/http/headers/early-data/index.html | 55 +++ files/zh-cn/web/http/headers/etag/index.html | 103 ++++ files/zh-cn/web/http/headers/expect-ct/index.html | 82 +++ files/zh-cn/web/http/headers/expect/index.html | 87 ++++ files/zh-cn/web/http/headers/expires/index.html | 79 +++ .../headers/feature-policy/autoplay/index.html | 52 ++ .../http/headers/feature-policy/camera/index.html | 54 ++ .../web/http/headers/feature-policy/index.html | 123 +++++ files/zh-cn/web/http/headers/forwarded/index.html | 110 +++++ files/zh-cn/web/http/headers/from/index.html | 73 +++ files/zh-cn/web/http/headers/host/index.html | 71 +++ files/zh-cn/web/http/headers/if-match/index.html | 89 ++++ .../web/http/headers/if-modified-since/index.html | 92 ++++ .../web/http/headers/if-none-match/index.html | 93 ++++ files/zh-cn/web/http/headers/if-range/index.html | 99 ++++ .../http/headers/if-unmodified-since/index.html | 96 ++++ files/zh-cn/web/http/headers/index.html | 550 +++++++++++++++++++++ files/zh-cn/web/http/headers/index/index.html | 8 + files/zh-cn/web/http/headers/keep-alive/index.html | 95 ++++ .../web/http/headers/large-allocation/index.html | 87 ++++ .../web/http/headers/last-modified/index.html | 89 ++++ files/zh-cn/web/http/headers/link/index.html | 65 +++ files/zh-cn/web/http/headers/location/index.html | 82 +++ files/zh-cn/web/http/headers/origin/index.html | 77 +++ files/zh-cn/web/http/headers/pragma/index.html | 79 +++ .../web/http/headers/proxy-authenticate/index.html | 77 +++ .../http/headers/proxy-authorization/index.html | 81 +++ .../headers/public-key-pins-report-only/index.html | 93 ++++ .../web/http/headers/public-key-pins/index.html | 89 ++++ files/zh-cn/web/http/headers/range/index.html | 83 ++++ files/zh-cn/web/http/headers/referer/index.html | 84 ++++ .../web/http/headers/referrer-policy/index.html | 259 ++++++++++ .../zh-cn/web/http/headers/retry-after/index.html | 82 +++ files/zh-cn/web/http/headers/save-data/index.html | 104 ++++ .../web/http/headers/sec-fetch-dest/index.html | 133 +++++ .../web/http/headers/sec-fetch-mode/index.html | 87 ++++ .../web/http/headers/sec-fetch-site/index.html | 85 ++++ .../web/http/headers/sec-fetch-user/index.html | 77 +++ .../http/headers/sec-websocket-accept/index.html | 14 + .../web/http/headers/server-timing/index.html | 87 ++++ files/zh-cn/web/http/headers/server/index.html | 71 +++ files/zh-cn/web/http/headers/set-cookie/index.html | 161 ++++++ .../http/headers/set-cookie/samesite/index.html | 114 +++++ .../zh-cn/web/http/headers/set-cookie2/index.html | 72 +++ files/zh-cn/web/http/headers/sourcemap/index.html | 65 +++ files/zh-cn/web/http/headers/te/index.html | 88 ++++ .../http/headers/timing-allow-origin/index.html | 78 +++ files/zh-cn/web/http/headers/tk/index.html | 91 ++++ files/zh-cn/web/http/headers/trailer/index.html | 101 ++++ .../web/http/headers/transfer-encoding/index.html | 106 ++++ .../headers/upgrade-insecure-requests/index.html | 72 +++ .../web/http/headers/user-agent/firefox/index.html | 357 +++++++++++++ files/zh-cn/web/http/headers/user-agent/index.html | 155 ++++++ files/zh-cn/web/http/headers/vary/index.html | 81 +++ files/zh-cn/web/http/headers/via/index.html | 80 +++ files/zh-cn/web/http/headers/warning/index.html | 141 ++++++ .../web/http/headers/www-authenticate/index.html | 85 ++++ .../http/headers/x-content-type-options/index.html | 83 ++++ .../web/http/headers/x-forwarded-for/index.html | 72 +++ .../web/http/headers/x-forwarded-host/index.html | 64 +++ .../web/http/headers/x-forwarded-proto/index.html | 65 +++ .../web/http/headers/x-xss-protection/index.html | 84 ++++ 117 files changed, 11296 insertions(+) create mode 100644 files/zh-cn/web/http/headers/accept-ch-lifetime/index.html create mode 100644 files/zh-cn/web/http/headers/accept-ch/index.html create mode 100644 files/zh-cn/web/http/headers/accept-charset/index.html create mode 100644 files/zh-cn/web/http/headers/accept-encoding/index.html create mode 100644 files/zh-cn/web/http/headers/accept-language/index.html create mode 100644 files/zh-cn/web/http/headers/accept-patch/index.html create mode 100644 files/zh-cn/web/http/headers/accept-ranges/index.html create mode 100644 files/zh-cn/web/http/headers/accept/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-allow-credentials/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-allow-headers/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-allow-methods/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-allow-origin/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-expose-headers/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-max-age/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-request-headers/index.html create mode 100644 files/zh-cn/web/http/headers/access-control-request-method/index.html create mode 100644 files/zh-cn/web/http/headers/age/index.html create mode 100644 files/zh-cn/web/http/headers/allow/index.html create mode 100644 files/zh-cn/web/http/headers/alt-svc/index.html create mode 100644 files/zh-cn/web/http/headers/authorization/index.html create mode 100644 files/zh-cn/web/http/headers/cache-control/index.html create mode 100644 files/zh-cn/web/http/headers/clear-site-data/index.html create mode 100644 files/zh-cn/web/http/headers/connection/index.html create mode 100644 files/zh-cn/web/http/headers/content-disposition/index.html create mode 100644 files/zh-cn/web/http/headers/content-encoding/index.html create mode 100644 files/zh-cn/web/http/headers/content-language/index.html create mode 100644 files/zh-cn/web/http/headers/content-length/index.html create mode 100644 files/zh-cn/web/http/headers/content-location/index.html create mode 100644 files/zh-cn/web/http/headers/content-range/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy-report-only/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/base-uri/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/block-all-mixed-content/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/child-src/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/connect-src/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/default-src/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/font-src/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/form-action/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/frame-ancestors/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/report-to/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/require-sri-for/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/sandbox/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/script-src-elem/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html create mode 100644 files/zh-cn/web/http/headers/content-security-policy/worker-src/index.html create mode 100644 files/zh-cn/web/http/headers/content-type/index.html create mode 100644 files/zh-cn/web/http/headers/cookie/index.html create mode 100644 files/zh-cn/web/http/headers/cookie2/index.html create mode 100644 files/zh-cn/web/http/headers/cross-origin-embedder-policy/index.html create mode 100644 files/zh-cn/web/http/headers/cross-origin-resource-policy/index.html create mode 100644 files/zh-cn/web/http/headers/date/index.html create mode 100644 files/zh-cn/web/http/headers/device-memory/index.html create mode 100644 files/zh-cn/web/http/headers/digest/index.html create mode 100644 files/zh-cn/web/http/headers/dnt/index.html create mode 100644 files/zh-cn/web/http/headers/dpr/index.html create mode 100644 files/zh-cn/web/http/headers/early-data/index.html create mode 100644 files/zh-cn/web/http/headers/etag/index.html create mode 100644 files/zh-cn/web/http/headers/expect-ct/index.html create mode 100644 files/zh-cn/web/http/headers/expect/index.html create mode 100644 files/zh-cn/web/http/headers/expires/index.html create mode 100644 files/zh-cn/web/http/headers/feature-policy/autoplay/index.html create mode 100644 files/zh-cn/web/http/headers/feature-policy/camera/index.html create mode 100644 files/zh-cn/web/http/headers/feature-policy/index.html create mode 100644 files/zh-cn/web/http/headers/forwarded/index.html create mode 100644 files/zh-cn/web/http/headers/from/index.html create mode 100644 files/zh-cn/web/http/headers/host/index.html create mode 100644 files/zh-cn/web/http/headers/if-match/index.html create mode 100644 files/zh-cn/web/http/headers/if-modified-since/index.html create mode 100644 files/zh-cn/web/http/headers/if-none-match/index.html create mode 100644 files/zh-cn/web/http/headers/if-range/index.html create mode 100644 files/zh-cn/web/http/headers/if-unmodified-since/index.html create mode 100644 files/zh-cn/web/http/headers/index.html create mode 100644 files/zh-cn/web/http/headers/index/index.html create mode 100644 files/zh-cn/web/http/headers/keep-alive/index.html create mode 100644 files/zh-cn/web/http/headers/large-allocation/index.html create mode 100644 files/zh-cn/web/http/headers/last-modified/index.html create mode 100644 files/zh-cn/web/http/headers/link/index.html create mode 100644 files/zh-cn/web/http/headers/location/index.html create mode 100644 files/zh-cn/web/http/headers/origin/index.html create mode 100644 files/zh-cn/web/http/headers/pragma/index.html create mode 100644 files/zh-cn/web/http/headers/proxy-authenticate/index.html create mode 100644 files/zh-cn/web/http/headers/proxy-authorization/index.html create mode 100644 files/zh-cn/web/http/headers/public-key-pins-report-only/index.html create mode 100644 files/zh-cn/web/http/headers/public-key-pins/index.html create mode 100644 files/zh-cn/web/http/headers/range/index.html create mode 100644 files/zh-cn/web/http/headers/referer/index.html create mode 100644 files/zh-cn/web/http/headers/referrer-policy/index.html create mode 100644 files/zh-cn/web/http/headers/retry-after/index.html create mode 100644 files/zh-cn/web/http/headers/save-data/index.html create mode 100644 files/zh-cn/web/http/headers/sec-fetch-dest/index.html create mode 100644 files/zh-cn/web/http/headers/sec-fetch-mode/index.html create mode 100644 files/zh-cn/web/http/headers/sec-fetch-site/index.html create mode 100644 files/zh-cn/web/http/headers/sec-fetch-user/index.html create mode 100644 files/zh-cn/web/http/headers/sec-websocket-accept/index.html create mode 100644 files/zh-cn/web/http/headers/server-timing/index.html create mode 100644 files/zh-cn/web/http/headers/server/index.html create mode 100644 files/zh-cn/web/http/headers/set-cookie/index.html create mode 100644 files/zh-cn/web/http/headers/set-cookie/samesite/index.html create mode 100644 files/zh-cn/web/http/headers/set-cookie2/index.html create mode 100644 files/zh-cn/web/http/headers/sourcemap/index.html create mode 100644 files/zh-cn/web/http/headers/te/index.html create mode 100644 files/zh-cn/web/http/headers/timing-allow-origin/index.html create mode 100644 files/zh-cn/web/http/headers/tk/index.html create mode 100644 files/zh-cn/web/http/headers/trailer/index.html create mode 100644 files/zh-cn/web/http/headers/transfer-encoding/index.html create mode 100644 files/zh-cn/web/http/headers/upgrade-insecure-requests/index.html create mode 100644 files/zh-cn/web/http/headers/user-agent/firefox/index.html create mode 100644 files/zh-cn/web/http/headers/user-agent/index.html create mode 100644 files/zh-cn/web/http/headers/vary/index.html create mode 100644 files/zh-cn/web/http/headers/via/index.html create mode 100644 files/zh-cn/web/http/headers/warning/index.html create mode 100644 files/zh-cn/web/http/headers/www-authenticate/index.html create mode 100644 files/zh-cn/web/http/headers/x-content-type-options/index.html create mode 100644 files/zh-cn/web/http/headers/x-forwarded-for/index.html create mode 100644 files/zh-cn/web/http/headers/x-forwarded-host/index.html create mode 100644 files/zh-cn/web/http/headers/x-forwarded-proto/index.html create mode 100644 files/zh-cn/web/http/headers/x-xss-protection/index.html (limited to 'files/zh-cn/web/http/headers') diff --git a/files/zh-cn/web/http/headers/accept-ch-lifetime/index.html b/files/zh-cn/web/http/headers/accept-ch-lifetime/index.html new file mode 100644 index 0000000000..99814cde07 --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-ch-lifetime/index.html @@ -0,0 +1,71 @@ +--- +title: Accept-CH-Lifetime +slug: Web/HTTP/Headers/Accept-CH-Lifetime +translation_of: Web/HTTP/Headers/Accept-CH-Lifetime +--- +
{{HTTPSidebar}}{{securecontext_header}}{{SeeCompatTable}}
+ +

服务器设置Accept-CH-Lifetime标头以指定{{HTTPHeader("Accept-CH")}}标头值的持久性,该值指定客户端应在后续请求中包括哪些Client Hints标头。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}?
+ +
+

注意: Client Hints只能在安全源(通过TLS)上访问。所有安全的请求都应该持久化Accept-CH和Accept-CH-Lifetime头,以确保Client Hints可靠地发送。

+
+ +

语法

+ +
Accept-CH-Lifetime: <age>
+
+ +

示例

+ +
Accept-CH: Viewport-Width, DPR
+Accept-CH-Lifetime: 86400
+
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-CH-Lifetime")}}

+ +

参见

+ + + +
+
+ + + +
+
+ +
+
+ +
+
+ + + +
+
+ +
+
diff --git a/files/zh-cn/web/http/headers/accept-ch/index.html b/files/zh-cn/web/http/headers/accept-ch/index.html new file mode 100644 index 0000000000..ded134ff4d --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-ch/index.html @@ -0,0 +1,57 @@ +--- +title: Accept-CH +slug: Web/HTTP/Headers/Accept-CH +translation_of: Web/HTTP/Headers/Accept-CH +--- +
{{HTTPSidebar}}{{securecontext_header}}{{SeeCompatTable}}
+ +

Accept-CH 头由服务器设置,以指定客户端应在后续请求中应包含哪些客户端Client Hints提示头。

+ + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}?
+ +
+

注意: Client Hints只能在安全源(通过TLS)上访问。所有安全的请求都应该持久化Accept-CH和Accept-CH-Lifetime头,以确保Client Hints可靠地发送。

+
+ +

语法

+ +
Accept-CH: <list of client hints>
+
+ +

例子

+ +
Accept-CH: DPR, Viewport-Width
+Accept-CH: Width
+Accept-CH-Lifetime: 86400
+Vary: DPR, Viewport-Width, Width
+
+ +
+

注意:  牢记要根据所接受的Client Hints更改响应

+
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-CH")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/accept-charset/index.html b/files/zh-cn/web/http/headers/accept-charset/index.html new file mode 100644 index 0000000000..151a09575d --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-charset/index.html @@ -0,0 +1,90 @@ +--- +title: Accept-Charset +slug: Web/HTTP/Headers/Accept-Charset +tags: + - HTTP + - HTTP Header + - POST + - Request header + - 内容协商 + - 请求头 +translation_of: Web/HTTP/Headers/Accept-Charset +--- +
{{HTTPSidebar}}
+ +

Accept-Charset 请求头用来告知(服务器)客户端可以处理的字符集类型。 借助内容协商机制,服务器可以从诸多备选项中选择一项进行应用, 并使用{{HTTPHeader("Content-Type")}} 应答头通知客户端它的选择。浏览器通常不会设置此项值,因为每种内容类型的默认值通常都是正确的,但是发送它会更有利于识别。

+ +

如果服务器不能提供任何可以匹配的字符集的版本,那么理论上来说应该返回一个 {{HTTPStatus("406")}} (Not Acceptable,不被接受)的错误码。但是为了更好的用户体验,这种方法很少采用,取而代之的是将其忽略。

+ +
+

在早期版本的HTTP/1.1协议中,规定了一个默认的字符集(ISO-8859-1)。但是现在情况不同了,目前每一种内容类型都有自己的默认字符集。

+
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

句法

+ +
Accept-Charset: <charset>
+
+// Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax:
+Accept-Charset: utf-8, iso-8859-1;q=0.5
+ +

指令

+ +
+
<charset>
+
诸如 utf-8 或 iso-8859-15的字符集。
+
*
+
在这个消息头中未提及的任意其他字符集;'*' 用来表示通配符。
+
;q= (q-factor weighting)
+
值代表优先顺序,用相对质量价值表示,又称为权重。
+
+ +

例子

+ +
Accept-Charset: iso-8859-1
+
+Accept-Charset: utf-8, iso-8859-1;q=0.5
+
+Accept-Charset: utf-8, iso-8859-1;q=0.5, *;q=0.1
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Accept-Charset", "5.3.3")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-Charset")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/accept-encoding/index.html b/files/zh-cn/web/http/headers/accept-encoding/index.html new file mode 100644 index 0000000000..f2379df8d1 --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-encoding/index.html @@ -0,0 +1,117 @@ +--- +title: Accept-Encoding +slug: Web/HTTP/Headers/Accept-Encoding +tags: + - Accept-Encoding + - 内容协商 + - 请求头 +translation_of: Web/HTTP/Headers/Accept-Encoding +--- +
{{HTTPSidebar}}
+ +

HTTP 请求头 Accept-Encoding 会将客户端能够理解的内容编码方式——通常是某种压缩算法——进行通知(给服务端)。通过内容协商的方式,服务端会选择一个客户端提议的方式,使用并在响应头 {{HTTPHeader("Content-Encoding")}} 中通知客户端该选择。

+ +

即使客户端和服务器都支持相同的压缩算法,在 identity 指令可以被接受的情况下,服务器也可以选择对响应主体不进行压缩。导致这种情况出现的两种常见的情形是:

+ + + +

只要 identity —— 表示不需要进行任何编码——没有被明确禁止使用(通过 identity;q=0 指令或是 *;q=0 而没有为 identity 明确指定权重值),则服务器禁止返回表示客户端错误的 {{HTTPStatus("406")}} Not Acceptable 响应。

+ +
注意: + + +
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Accept-Encoding: gzip
+Accept-Encoding: compress
+Accept-Encoding: deflate
+Accept-Encoding: br
+Accept-Encoding: identity
+Accept-Encoding: *
+
+// Multiple algorithms, weighted with the {{Glossary("Quality Values", "quality value")}} syntax:
+Accept-Encoding: deflate, gzip;q=1.0, *;q=0.5
+ +

指令

+ +
+
gzip
+
表示采用 Lempel-Ziv coding (LZ77) 压缩算法,以及32位CRC校验的编码方式。
+
compress
+
采用 Lempel-Ziv-Welch (LZW) 压缩算法。
+
deflate
+
采用 zlib 结构和 deflate 压缩算法。
+
br
+
表示采用 Brotli 算法的编码方式。
+
identity
+
用于指代自身(例如:未经过压缩和修改)。除非特别指明,这个标记始终可以被接受。
+
*
+
匹配其他任意未在该请求头字段中列出的编码方式。假如该请求头字段不存在的话,这个值是默认值。它并不代表任意算法都支持,而仅仅表示算法之间无优先次序。
+
;q= (qvalues weighting)
+
值代表优先顺序,用相对质量价值 表示,又称为权重。
+
+ +

示例

+ +
Accept-Encoding: gzip
+
+Accept-Encoding: gzip, compress, br
+
+Accept-Encoding: br;q=1.0, gzip;q=0.8, *;q=0.1
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Accept-Encoding", "5.3.4")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-Encoding")}}

+ +

相关内容

+ + + +
+ +
diff --git a/files/zh-cn/web/http/headers/accept-language/index.html b/files/zh-cn/web/http/headers/accept-language/index.html new file mode 100644 index 0000000000..9d647635a6 --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-language/index.html @@ -0,0 +1,93 @@ +--- +title: Accept-Language +slug: Web/HTTP/Headers/Accept-Language +tags: + - HTTP + - 参考 + - 语言 + - 请求头 +translation_of: Web/HTTP/Headers/Accept-Language +--- +
{{HTTPSidebar}}
+ +

Accept-Language 请求头允许客户端声明它可以理解的自然语言,以及优先选择的区域方言。借助内容协商机制,服务器可以从诸多备选项中选择一项进行应用, 并使用 {{HTTPHeader("Content-Language")}} 应答头通知客户端它的选择。浏览器会基于其用户界面语言为这个请求头设置合适的值,即便是用户可以进行修改,但是这种情况极少发生(因为可增加指纹独特性,通常也不被鼓励)(译者注:通常只在测试网站的多语言支持时手动修改它;或为进一步减少指纹独特性,改为最常见的英文)。

+ +

当服务器无法通过其他方式来确定应当使用的语言时——例如某一特定的 URL,这是用户明确指定的——这个请求头可以用作提示。建议服务器端永远不要覆盖明确指定的信息。Accept-Language 消息头的内容通常不在用户的掌控之中(例如在国外旅行时到提供网络服务的场所上网);另外用户可能会想要浏览非本地用户界面语言的页面。

+ +

如果服务器不能提供任何可以匹配的语言的版本,那么理论上来说应该返回一个 {{HTTPStatus("406")}}(Not Acceptable,不被接受)的错误码。但是为了更好的用户体验,这种方法很少被采用,取而代之的是将其忽略。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple header", "CORS-safelisted request-header")}}yes
+ +

语法

+ +
Accept-Language: <language>
+Accept-Language: *
+
+// Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax:
+Accept-Language: fr-CH, fr;q=0.9, en;q=0.8, de;q=0.7, *;q=0.5
+ +

指令

+ +
+
<language>
+
用含有两到三个字符的字符串表示的语言码或完整的语言标签。除了语言本身之外,还会包含其他方面的信息,显示在中划线("-")后面。最常见的额外信息是国家或地区变种(如"en-US")或者表示所用的字母系统(如"sr-Lat")。其他变种诸如拼字法("de-DE-1996")等通常不被应用在这种场合。
+
*
+
任意语言;"*" 表示通配符(wildcard)。
+
;q= (q-factor weighting)
+
此值代表优先顺序,用相对{{glossary("Quality values", "质量价值")}}表示,又称为权重
+
+ +

示例

+ +
Accept-Language: de
+
+Accept-Language: de-CH
+
+Accept-Language: en-US,en;q=0.5
+
+Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
+
+ +

规范

+ + + + + + + + + + + + +
规范标题
{{RFC("7231", "Accept-Language", "5.3.5")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-Language")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/accept-patch/index.html b/files/zh-cn/web/http/headers/accept-patch/index.html new file mode 100644 index 0000000000..17f3fc0790 --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-patch/index.html @@ -0,0 +1,85 @@ +--- +title: Accept-Patch +slug: Web/HTTP/Headers/Accept-Patch +translation_of: Web/HTTP/Headers/Accept-Patch +--- +
{{HTTPSidebar}}
+ +

服务器使用 HTTP 响应头 Accept-Patch 通知浏览器请求的媒体类型(media-type)可以被服务器理解。

+ +

Accept-Patch in response to any method means that PATCH is allowed on the resource identified by the Request-URI. Two common cases lead to this:

+ +

A server receiving a PATCH request with an unsupported media type could reply with  {{HTTPStatus("415")}} Unsupported Media Type and an Accept-Patch header referencing one or more supported media types.

+ +

 

+ +
Notes: + + +
+ + + + + + + + + + + + +
头部类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}(禁止修改的 HTTP 头)yes
+ +

语法

+ +
Accept-Patch: application/example, text/example
+Accept-Patch: text/example;charset=utf-8
+Accept-Patch: application/merge-patch+json
+
+ +

指令

+ +

(无)

+ +

示例

+ +
Accept-Patch: application/example, text/example
+
+Accept-Patch: text/example;charset=utf-8
+
+Accept-Patch: application/merge-patch+json
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("5789", "Accept-Patch", "2.2")}}HTTP PATCH
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-Patch")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/accept-ranges/index.html b/files/zh-cn/web/http/headers/accept-ranges/index.html new file mode 100644 index 0000000000..28b069b158 --- /dev/null +++ b/files/zh-cn/web/http/headers/accept-ranges/index.html @@ -0,0 +1,74 @@ +--- +title: Accept-Ranges +slug: Web/HTTP/Headers/Accept-Ranges +translation_of: Web/HTTP/Headers/Accept-Ranges +--- +
{{HTTPSidebar}}
+ +

服务器使用 HTTP 响应头 Accept-Ranges 标识自身支持范围请求(partial requests)。字段的具体值用于定义范围请求的单位。

+ +

当浏览器发现 Accept-Ranges 头时,可以尝试继续中断了的下载,而不是重新开始。

+ + + + + + + + + + + + +
头部类型{{Glossary("Response header")}}
+

{{Glossary("Forbidden header name")}}(禁止修改的 HTTP 头)

+
+ +

语法

+ +
Accept-Ranges: bytes
+Accept-Ranges: none
+ +

指令

+ +
+
none
+
不支持任何范围请求单位,由于其等同于没有返回此头部,因此很少使用。不过一些浏览器,比如IE9,会依据该头部去禁用或者移除下载管理器的暂停按钮。
+
bytes
+
+

范围请求的单位是 bytes (字节)。

+
+
+ +

示例

+ +
Accept-Ranges: bytes
+
+ +

规范

+ + + + + + + + + + + + +
规范标题
{{RFC("7233", "Accept-Ranges", "2.3")}}超文本传输协议 (HTTP/1.1): 范围请求
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept-Ranges")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/accept/index.html b/files/zh-cn/web/http/headers/accept/index.html new file mode 100644 index 0000000000..13e1fbaa34 --- /dev/null +++ b/files/zh-cn/web/http/headers/accept/index.html @@ -0,0 +1,85 @@ +--- +title: Accept +slug: Web/HTTP/Headers/Accept +translation_of: Web/HTTP/Headers/Accept +--- +
{{HTTPSidebar}}
+ +

Accept 请求头用来告知(服务器)客户端可以处理的内容类型,这种内容类型用MIME类型来表示。借助内容协商机制, 服务器可以从诸多备选项中选择一项进行应用,并使用 {{HTTPHeader("Content-Type")}} 应答头通知客户端它的选择。浏览器会基于请求的上下文来为这个请求头设置合适的值,比如获取一个CSS层叠样式表时值与获取图片、视频或脚本文件时的值是不同的。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple header", "CORS-safelisted request-header")}}yes
+ +

语法

+ +
Accept: <MIME_type>/<MIME_subtype>
+Accept: <MIME_type>/*
+Accept: */*
+
+// Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax:
+Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
+ +

指令

+ +
+
<MIME_type>/<MIME_subtype>
+
单一精确的 MIME 类型, 例如text/html.
+
<MIME_type>/*
+
一类 MIME 类型, 但是没有指明子类。 image/* 可以用来指代 image/png, image/svg, image/gif 以及任何其他的图片类型。
+
*/*
+
任意类型的 MIME 类型
+
;q= (q因子权重)
+
值代表优先顺序,用相对质量价值表示,又称作权重。
+
+ +

示例

+ +
Accept: text/html
+
+Accept: image/*
+
+Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Accept", "5.3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Accept")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/access-control-allow-credentials/index.html b/files/zh-cn/web/http/headers/access-control-allow-credentials/index.html new file mode 100644 index 0000000000..7085ccb0f0 --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-allow-credentials/index.html @@ -0,0 +1,94 @@ +--- +title: Access-Control-Allow-Credentials +slug: Web/HTTP/Headers/Access-Control-Allow-Credentials +tags: + - CORS + - Reference + - header + - 响应头 + - 跨域 +translation_of: Web/HTTP/Headers/Access-Control-Allow-Credentials +--- +
{{HTTPSidebar}}
+ +

Access-Control-Allow-Credentials 响应头表示是否可以将对请求的响应暴露给页面。返回true则可以,其他值均不可以。

+ +

Credentials可以是 cookies, authorization headers 或 TLS client certificates。

+ +

当作为对预检请求的响应的一部分时,这能表示是否真正的请求可以使用credentials。注意简单的{{HTTPMethod("GET")}} 请求没有预检,所以若一个对资源的请求带了credentials,如果这个响应头没有随资源返回,响应就会被浏览器忽视,不会返回到web内容。

+ +

Access-Control-Allow-Credentials 头 工作中与{{domxref("XMLHttpRequest.withCredentials")}} 或Fetch API中的{{domxref("Request.Request()", "Request()")}} 构造器中的credentials 选项结合使用。Credentials必须在前后端都被配置(即the Access-Control-Allow-Credentials header 和 XHR 或Fetch request中都要配置)才能使带credentials的CORS请求成功。

+ + + + + + + + + + + + +
头部类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Access-Control-Allow-Credentials: true
+
+ +

指令

+ +
+
true
+
这个头的唯一有效值(区分大小写)。如果不需要credentials,相比将其设为false,请直接忽视这个头。
+
+ +

例子

+ +

允许credentials:

+ +
Access-Control-Allow-Credentials: true
+ +

使用带credentials的 XHR

+ +
var xhr = new XMLHttpRequest();
+xhr.open('GET', 'http://example.com/', true);
+xhr.withCredentials = true;
+xhr.send(null);
+ +

使用带credentials的 Fetch :

+ +
fetch(url, {
+  credentials: 'include'
+})
+ +

规范

+ + + + + + + + + + + + + + +
规范状态注释
{{SpecName('Fetch','#http-access-control-allow-credentials', 'Access-Control-Allow-Credentials')}}{{Spec2("Fetch")}}Initial definition
+ +

浏览器兼容性

+ + + +

{{Compat("http/headers/access-control-allow-credentials")}}

+ +

查阅更多

+ + diff --git a/files/zh-cn/web/http/headers/access-control-allow-headers/index.html b/files/zh-cn/web/http/headers/access-control-allow-headers/index.html new file mode 100644 index 0000000000..d6a3737780 --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-allow-headers/index.html @@ -0,0 +1,134 @@ +--- +title: Access-Control-Allow-Headers +slug: Web/HTTP/Headers/Access-Control-Allow-Headers +tags: + - CORS + - HTTP + - 超文本传输协议 + - 跨域资源共享 + - 首部 +translation_of: Web/HTTP/Headers/Access-Control-Allow-Headers +--- +
{{HTTPSidebar}}
+ +

响应首部 Access-Control-Allow-Headers 用于 {{glossary("preflight request")}} (预检请求)中,列出了将会在正式请求的 {{HTTPHeader("Access-Control-Request-Headers")}} 字段中出现的首部信息。

+ +

简单首部,如 {{glossary("simple header", "simple headers")}}、{{HTTPHeader("Accept")}}、{{HTTPHeader("Accept-Language")}}、{{HTTPHeader("Content-Language")}}、{{HTTPHeader("Content-Type")}} (只限于解析后的值为 application/x-www-form-urlencoded、multipart/form-data 或 text/plain 三种MIME类型(不包括参数)),它们始终是被支持的,不需要在这个首部特意列出。

+ +

如果请求中含有 {{HTTPHeader("Access-Control-Request-Headers")}} 字段,那么这个首部是必要的。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Access-Control-Allow-Headers: <header-name>[, <header-name>]*
+Access-Control-Allow-Headers: *
+ +

指令

+ +
+
<header-name>
+
可支持的请求首部名字。请求头会列出所有支持的首部列表,用逗号隔开。
+
+ +

注意以下这些特定的首部是一直允许的:{{HTTPHeader("Accept")}}, {{HTTPHeader("Accept-Language")}}, {{HTTPHeader("Content-Language")}}, {{HTTPHeader("Content-Type")}} (但只在其值属于 MIME 类型 application/x-www-form-urlencodedmultipart/form-data 或 text/plain中的一种时)。这些被称作{{Glossary("simple headers")}},你无需特意声明它们。

+ +

* (wildcard)

+ +

对于没有凭据的请求(没有HTTP cookie或HTTP认证信息的请求),值“ *”仅作为特殊的通配符值。 在具有凭据的请求中,它被视为没有特殊语义的文字标头名称“ *”。 请注意,{{HTTPHeader(“ Authorization”)}}标头不能使用通配符,并且始终需要明确列出。

+ +

示例

+ +

自定义的请求头

+ +

下面是 Access-Control-Allow-Headers 标头的一个示例。 它表明,除了CORS安全清单列出的请求标头外,对服务器的CORS请求还支持名为X-Custom-Header的自定义标头。

+ +
Access-Control-Allow-Headers: X-Custom-Header
+ +

Multiple headers

+ +

此示例展示了支持多个标头时的 Access-Control-Allow-Headers 。

+ +
Access-Control-Allow-Headers: X-Custom-Header, Upgrade-Insecure-Requests
+ +

Example preflight request

+ +

让我们看一个涉及Access-Control-Allow-Headers的预检请求示例。 

+ +

Request

+ +

First, the request.  The preflight request is an {{HTTPMethod("OPTIONS")}} request which includes some combination of the three preflight request headers: {{HTTPHeader("Access-Control-Request-Method")}}, {{HTTPHeader("Access-Control-Request-Headers")}}, and {{HTTPHeader("Origin")}}, such as:

+ +
OPTIONS /resource/foo
+Access-Control-Request-Method: DELETE
+Access-Control-Request-Headers: origin, x-requested-with
+Origin: https://foo.bar.org
+ +

Response

+ +

If the server allows CORS requests to use the {{HTTPMethod("DELETE")}} method, it responds with an {{HTTPHeader("Access-Control-Allow-Methods")}} response header, which lists DELETE along with the other methods it supports:

+ +
HTTP/1.1 200 OK
+Content-Length: 0
+Connection: keep-alive
+Access-Control-Allow-Origin: https://foo.bar.org
+Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
+Access-Control-Max-Age: 86400
+ +

If the requested method isn't supported, the server will respond with an error.

+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-allow-headers', 'Access-Control-Allow-Headers')}}{{Spec2("Fetch")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Access-Control-Allow-Headers")}}

+ +

有关兼容性的注意事项

+ + + +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/access-control-allow-methods/index.html b/files/zh-cn/web/http/headers/access-control-allow-methods/index.html new file mode 100644 index 0000000000..b7c91f8a3f --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-allow-methods/index.html @@ -0,0 +1,84 @@ +--- +title: Access-Control-Allow-Methods +slug: Web/HTTP/Headers/Access-Control-Allow-Methods +tags: + - 跨域资源共享 + - 首部 +translation_of: Web/HTTP/Headers/Access-Control-Allow-Methods +--- +

{{HTTPSidebar}}

+ +

响应首部 Access-Control-Allow-Methods 在对 {{glossary("preflight request")}}.(预检请求)的应答中明确了客户端所要访问的资源允许使用的方法或方法列表。

+ + + + + + + + + + + + +
报头类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Access-Control-Allow-Methods: <method>, <method>, ...
+
+ +

指令

+ +
+
<method>
+
用逗号隔开的允许使用的 HTTP request methods 列表。
+
+ +

例子

+ +
Access-Control-Allow-Methods: POST, GET, OPTIONS
+ +

规范

+ + + + + + + + + + + + + + +
规范状态注释
{{SpecName('Fetch','#http-access-control-allow-methods', 'Access-Control-Allow-Methods')}}{{Spec2("Fetch")}}Initial definition
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Access-Control-Allow-Methods")}}

+ +

兼容性注解

+ + + +

查看更多

+ + diff --git a/files/zh-cn/web/http/headers/access-control-allow-origin/index.html b/files/zh-cn/web/http/headers/access-control-allow-origin/index.html new file mode 100644 index 0000000000..07360e1377 --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-allow-origin/index.html @@ -0,0 +1,83 @@ +--- +title: Access-Control-Allow-Origin +slug: Web/HTTP/Headers/Access-Control-Allow-Origin +translation_of: Web/HTTP/Headers/Access-Control-Allow-Origin +--- +
Access-Control-Allow-Origin 响应头指定了该响应的资源是否被允许与给定的{{glossary("origin")}}共享。
+ +
 
+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Access-Control-Allow-Origin: *
+Access-Control-Allow-Origin: <origin>
+
+ +

指令

+ +
+
*
+
对于不需具备凭证(credentials)的请求,服务器会以“*”作为通配符,从而允许所有域都具有访问资源的权限。
+
<origin>
+
指定一个可以访问资源的URI。
+
+ +

示例

+ +

如需允许所有资源都可以访问的资源,您可以如此设置:

+ +
Access-Control-Allow-Origin: *
+ +

如需允许https://developer.mozilla.org访问您的资源,您可以设置:

+ +
Access-Control-Allow-Origin: https://developer.mozilla.org
+ +

CORS和缓存

+ +

如果服务器未使用“*”,而是指定了一个域,那么为了向客户端表明服务器的返回会根据Origin请求头而有所不同,必须在{{HTTPHeader("Vary")}}响应头中包含Origin

+ +
Access-Control-Allow-Origin: https://developer.mozilla.org
+Vary: Origin
+ +

规范

+ + + + + + + + + + + + + + +
规范状态注释
{{SpecName('Fetch','#http-access-control-allow-origin', 'Access-Control-Allow-Origin')}}{{Spec2("Fetch")}}初始定义
+ +

浏览器兼容性

+ + + +

{{Compat("http/headers/access-control-allow-origin")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/access-control-expose-headers/index.html b/files/zh-cn/web/http/headers/access-control-expose-headers/index.html new file mode 100644 index 0000000000..93755fa0ca --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-expose-headers/index.html @@ -0,0 +1,102 @@ +--- +title: Access-Control-Expose-Headers +slug: Web/HTTP/Headers/Access-Control-Expose-Headers +tags: + - 跨域资源共享 + - 首部 +translation_of: Web/HTTP/Headers/Access-Control-Expose-Headers +--- +
{{HTTPSidebar}}
+ +

响应首部 Access-Control-Expose-Headers 列出了哪些首部可以作为响应的一部分暴露给外部。

+ +

默认情况下,只有七种 {{Glossary("Simple response header", "simple response headers")}} (简单响应首部)可以暴露给外部:

+ + + +

如果想要让客户端可以访问到其他的首部信息,可以将它们在 Access-Control-Expose-Headers 里面列出来。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Access-Control-Expose-Headers: <header-name>, <header-name>, ...
+
+ +

指令

+ +
+
<header-name>
+
包含0个或多个除 {{Glossary("Simple response header", "simple response headers")}} (简单响应首部)之外的首部名称列表,可以暴露给外部,供页面资源使用。
+
+ +

示例

+ +

想要暴露一个非简单响应首部,可以这样指定:

+ +
Access-Control-Expose-Headers: Content-Length
+ +

想要额外暴露自定义的首部,例如 X-Kuma-Revision,可以指定多个,用逗号隔开:

+ +
Access-Control-Expose-Headers: Content-Length, X-Kuma-Revision
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-expose-headers', 'Access-Control-Expose-Headers')}}{{Spec2("Fetch")}}
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Access-Control-Expose-Headers")}}

+ +

关于兼容性的注意事项

+ + + +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/access-control-max-age/index.html b/files/zh-cn/web/http/headers/access-control-max-age/index.html new file mode 100644 index 0000000000..46ccab97ce --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-max-age/index.html @@ -0,0 +1,78 @@ +--- +title: Access-Control-Max-Age +slug: Web/HTTP/Headers/Access-Control-Max-Age +tags: + - 超文本传输协议 + - 跨域资源请求 + - 首部 +translation_of: Web/HTTP/Headers/Access-Control-Max-Age +--- +
{{HTTPSidebar}}
+ +

The Access-Control-Max-Age 这个响应头表示 {{glossary("preflight request")}}  (预检请求)的返回结果(即 {{HTTPHeader("Access-Control-Allow-Methods")}} 和{{HTTPHeader("Access-Control-Allow-Headers")}} 提供的信息) 可以被缓存多久。

+ + + + + + + + + + + + +
报头类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Access-Control-Max-Age: <delta-seconds>
+
+ +

指令

+ +
+
<delta-seconds>
+
返回结果可以被缓存的最长时间(秒)。
+ 在 Firefox 中,上限是24小时 (即 86400 秒)。
+ 在 Chromium v76 之前, 上限是 10 分钟(即 600 秒)。
+ 从 Chromium v76 开始,上限是 2 小时(即 7200 秒)。
+ Chromium 同时规定了一个默认值 5 秒。
+ 如果值为 -1,表示禁用缓存,则每次请求前都需要使用 OPTIONS 预检请求。
+
+ +

示例

+ +

将预检请求的结果缓存10分钟:

+ +
Access-Control-Max-Age: 600 
+ +

规范

+ + + + + + + + + + + + + + +
规范状态注释
{{SpecName('Fetch','#http-access-control-max-age', 'Access-Control-Max-Age')}}{{Spec2("Fetch")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Access-Control-Max-Age")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/access-control-request-headers/index.html b/files/zh-cn/web/http/headers/access-control-request-headers/index.html new file mode 100644 index 0000000000..e6315cfa89 --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-request-headers/index.html @@ -0,0 +1,68 @@ +--- +title: Access-Control-Request-Headers +slug: Web/HTTP/Headers/Access-Control-Request-Headers +tags: + - 跨域资源共享 +translation_of: Web/HTTP/Headers/Access-Control-Request-Headers +--- +
{{HTTPSidebar}}
+ +

请求头  Access-Control-Request-Headers 出现于 {{glossary("preflight request")}} (预检请求)中,用于通知服务器在真正的请求中会采用哪些请求头。

+ + + + + + + + + + + + +
报头类型{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Access-Control-Request-Headers: <header-name>, <header-name>, ...
+
+ +

指令

+ +
+
<header-name>
+
在实际请求中将要包含的一系列 HTTP 头,以逗号分隔。
+
+ +

示例

+ +
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
+ +

规范

+ + + + + + + + + + + + + + +
规范状态注释
{{SpecName('Fetch','#http-access-control-request-headers', 'Access-Control-Request-Headers')}}{{Spec2("Fetch")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Access-Control-Request-Headers")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/access-control-request-method/index.html b/files/zh-cn/web/http/headers/access-control-request-method/index.html new file mode 100644 index 0000000000..92af190729 --- /dev/null +++ b/files/zh-cn/web/http/headers/access-control-request-method/index.html @@ -0,0 +1,69 @@ +--- +title: Access-Control-Request-Method +slug: Web/HTTP/Headers/Access-Control-Request-Method +tags: + - 请求首部 + - 跨域资源共享 +translation_of: Web/HTTP/Headers/Access-Control-Request-Method +--- +
{{HTTPSidebar}}
+ +
请求头  Access-Control-Request-Method 出现于 {{glossary("preflight request")}} (预检请求)中,用于通知服务器在真正的请求中会采用哪种  HTTP 方法。因为预检请求所使用的方法总是 {{HTTPMethod("OPTIONS")}} ,与实际请求所使用的方法不一样,所以这个请求头是必要的。
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Access-Control-Request-Method: <method>
+
+ +

指令

+ +
+
<method>
+
一种 HTTP请求方法 , 例如 {{HTTPMethod("GET")}}、{{HTTPMethod("POST")}} 或 {{HTTPMethod("DELETE")}}。
+
+ +

示例

+ +
Access-Control-Request-Method: POST
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Fetch','#http-access-control-request-method', 'Access-Control-Request-Method')}}{{Spec2("Fetch")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Access-Control-Request-Method")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/age/index.html b/files/zh-cn/web/http/headers/age/index.html new file mode 100644 index 0000000000..409f142e72 --- /dev/null +++ b/files/zh-cn/web/http/headers/age/index.html @@ -0,0 +1,73 @@ +--- +title: Age +slug: Web/HTTP/Headers/Age +tags: + - 响应头 + - 缓存 + - 首部 +translation_of: Web/HTTP/Headers/Age +--- +
{{HTTPSidebar}}
+ +

Age 消息头里包含对象在缓存代理中存贮的时长,以秒为单位。.

+ +

Age的值通常接近于0。表示此对象刚刚从原始服务器获取不久;其他的值则是表示代理服务器当前的系统时间与此应答中的通用头 {{HTTPHeader("Date")}} 的值之差。

+ + + + + + + + + + + + +
报头类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Age: <delta-seconds>
+
+ +

指令

+ +
+
<delta-seconds>
+
+

一个非负整数,表示对象在缓存代理服务器中存贮的时长,以秒为单位。

+
+
+ +

示例

+ +
Age: 24
+ +

规范

+ + + + + + + + + + + + +
规范标题
{{RFC("7234", "Age", "5.1")}}超文本协议 (HTTP/1.1): 缓存
+ +

浏览器兼容情况

+ + + +

{{Compat("http.headers.Age")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/allow/index.html b/files/zh-cn/web/http/headers/allow/index.html new file mode 100644 index 0000000000..9f087cd21d --- /dev/null +++ b/files/zh-cn/web/http/headers/allow/index.html @@ -0,0 +1,61 @@ +--- +title: Allow +slug: Web/HTTP/Headers/Allow +translation_of: Web/HTTP/Headers/Allow +--- +
{{HTTPSidebar}}
+ +

Allow 首部字段用于枚举资源所支持的 HTTP 方法的集合。

+ +

若服务器返回状态码 {{HTTPStatus("405")}} Method Not Allowed,则该首部字段亦需要同时返回给客户端。如果 Allow  首部字段的值为空,说明资源不接受使用任何 HTTP 方法的请求。这是可能的,比如服务器需要临时禁止对资源的任何访问。

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Allow: <http-methods>
+
+ +

声明

+ +
+
<http-methods>
+
HTTP 请求方法的集合。
+
+ +

示例

+ +
Allow: GET, POST, HEAD
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Allow", "7.4.1")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/alt-svc/index.html b/files/zh-cn/web/http/headers/alt-svc/index.html new file mode 100644 index 0000000000..556209bf86 --- /dev/null +++ b/files/zh-cn/web/http/headers/alt-svc/index.html @@ -0,0 +1,57 @@ +--- +title: Alt-Svc +slug: Web/HTTP/Headers/Alt-Svc +tags: + - HTTP + - HTTP Header +translation_of: Web/HTTP/Headers/Alt-Svc +--- +

Alt-Svc 全称为“Alternative-Service”,直译为“备选服务”。该头部列举了当前站点备选的访问方式列表。一般用于在提供 “QUIC” 等新兴协议支持的同时,实现向下兼容。

+ +

语法

+ +
Alt-Svc: clear
+Alt-Svc: <service-list>; ma=<max-age>
+Alt-Svc: <service-list>; ma=<max-age>; persist=1
+
+ +
+
<service-list>
+
使用分号隔离的访问方式列表,格式形如:<service-name>="<host-name>:<port-number>"。这里的<service-name>应当是一个有效的 {{Glossary("ALPN")}} 标识符。
+
<max-age>{{Optional_Inline}}
+
当前访问方式的有效期,超过该时间后,服务端将不保证该访问方式依旧可用,客户端应当重新获取更新后的 Alt-Svc 列表。单位为秒,默认值为 24 小时(86400)。
+
persist{{Optional_Inline}}
+
可选参数,用于标识当前访问方式在网络环境改变时或者会话间始终保持。
+
+
+ +

说明

+ + + + + + + + + + + + + + + + +
说明状态描述
{{RFC(7838)}}IETF RFC初始化定义。
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Alt-Svc")}}

+ +

引用

+ + diff --git a/files/zh-cn/web/http/headers/authorization/index.html b/files/zh-cn/web/http/headers/authorization/index.html new file mode 100644 index 0000000000..93ac17af54 --- /dev/null +++ b/files/zh-cn/web/http/headers/authorization/index.html @@ -0,0 +1,87 @@ +--- +title: Authorization +slug: Web/HTTP/Headers/Authorization +translation_of: Web/HTTP/Headers/Authorization +--- +
{{HTTPSidebar}}
+ +

HTTP协议中的 Authorization 请求消息头含有服务器用于验证用户代理身份的凭证,通常会在服务器返回{{HTTPStatus("401")}} Unauthorized 状态码以及{{HTTPHeader("WWW-Authenticate")}} 消息头之后在后续请求中发送此消息头。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Authorization: <type> <credentials>
+ +

指令

+ +
+
<type>
+
验证类型。 常见的是 "基本验证(Basic)" 。其他类型包括: + +
+
<credentials>
+
如果使用“基本验证”方案,凭证通过如下步骤生成: +
    +
  • 用冒号将用户名和密码进行拼接(如:aladdin:opensesame)。
  • +
  • 将第一步生成的结果用 base64 方式编码(YWxhZGRpbjpvcGVuc2VzYW1l)。
  • +
+ +
+

注意: Base64编码并不是一种加密方法或者hashing方法!这种方法的安全性与明文发送等同(base64可以逆向解码)。“基本验证”方案需要与HTTPS协议配合使用。

+
+
+
+ +

示例

+ +
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
+
+ +

请参考 HTTP authentication 来获取在Apache或nginx中使用HTTP基本验证方案加密保护站点的配置示例。

+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7235", "Authorization", "4.2")}}HTTP/1.1: Authentication
{{RFC("7617")}}The 'Basic' HTTP Authentication Scheme
+ +

参见

+ + + +

[ ... ]也可以看看参见
+ 参看

diff --git a/files/zh-cn/web/http/headers/cache-control/index.html b/files/zh-cn/web/http/headers/cache-control/index.html new file mode 100644 index 0000000000..0e11a8d059 --- /dev/null +++ b/files/zh-cn/web/http/headers/cache-control/index.html @@ -0,0 +1,184 @@ +--- +title: Cache-Control +slug: Web/HTTP/Headers/Cache-Control +tags: + - Cache-Control + - HTTP + - 请求头 +translation_of: Web/HTTP/Headers/Cache-Control +--- +
{{HTTPSidebar}}
+ +

 Cache-Control 通用消息头字段,被用于在http请求和响应中,通过指定指令来实现缓存机制。缓存指令是单向的,这意味着在请求中设置的指令,不一定被包含在响应中。

+ + + + + + + + + + + + + + + + +
Header type {{Glossary("General header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

语法

+ +

指令不区分大小写,并且具有可选参数,可以用令牌或者带引号的字符串语法。多个指令以逗号分隔。

+ +

缓存请求指令

+ +

客户端可以在HTTP请求中使用的标准 Cache-Control 指令。

+ +
Cache-Control: max-age=<seconds>
+Cache-Control: max-stale[=<seconds>]
+Cache-Control: min-fresh=<seconds>
+Cache-control: no-cache
+Cache-control: no-store
+Cache-control: no-transform
+Cache-control: only-if-cached
+
+ +

缓存响应指令

+ +

服务器可以在响应中使用的标准 Cache-Control 指令。

+ +
Cache-control: must-revalidate
+Cache-control: no-cache
+Cache-control: no-store
+Cache-control: no-transform
+Cache-control: public
+Cache-control: private
+Cache-control: proxy-revalidate
+Cache-Control: max-age=<seconds>
+Cache-control: s-maxage=<seconds>
+
+ +

 扩展Cache-Control指令

+ +

拓展缓存指令不是核心HTTP缓存标准文档的一部分,使用前请注意检查兼容性

+ +
Cache-control: immutable
+Cache-control: stale-while-revalidate=<seconds>
+Cache-control: stale-if-error=<seconds>
+
+ +

指令

+ +

可缓存性

+ +
+
public
+
表明响应可以被任何对象(包括:发送请求的客户端,代理服务器,等等)缓存,即使是通常不可缓存的内容。(例如:1.该响应没有max-age指令或Expires消息头;2. 该响应对应的请求方法是 POST 。)
+
private
+
表明响应只能被单个用户缓存,不能作为共享缓存(即代理服务器不能缓存它)。私有缓存可以缓存响应内容,比如:对应用户的本地浏览器。
+
no-cache
+
在发布缓存副本之前,强制要求缓存把请求提交给原始服务器进行验证(协商缓存验证)。
+
no-store
+
缓存不应存储有关客户端请求或服务器响应的任何内容,即不使用任何缓存。
+
+ +

到期

+ +
+
max-age=<seconds>
+
设置缓存存储的最大周期,超过这个时间缓存被认为过期(单位秒)。与Expires相反,时间是相对于请求的时间。
+
s-maxage=<seconds>
+
覆盖max-age或者Expires头,但是仅适用于共享缓存(比如各个代理),私有缓存会忽略它。
+
max-stale[=<seconds>]
+
表明客户端愿意接收一个已经过期的资源。可以设置一个可选的秒数,表示响应不能已经过时超过该给定的时间。
+
min-fresh=<seconds>
+
表示客户端希望获取一个能在指定的秒数内保持其最新状态的响应。
+
stale-while-revalidate=<seconds> {{experimental_inline}}
+
表明客户端愿意接受陈旧的响应,同时在后台异步检查新的响应。秒值指示客户愿意接受陈旧响应的时间长度。
+
stale-if-error=<seconds> {{experimental_inline}}
+
表示如果新的检查失败,则客户愿意接受陈旧的响应。秒数值表示客户在初始到期后愿意接受陈旧响应的时间。
+
+ +

重新验证和重新加载

+ +
+
must-revalidate
+
一旦资源过期(比如已经超过max-age),在成功向原始服务器验证之前,缓存不能用该资源响应后续请求。
+
proxy-revalidate
+
与must-revalidate作用相同,但它仅适用于共享缓存(例如代理),并被私有缓存忽略。
+
immutable {{experimental_inline}}
+
表示响应正文不会随时间而改变。资源(如果未过期)在服务器上不发生改变,因此客户端不应发送重新验证请求头(例如If-None-Match或If-Modified-Since)来检查更新,即使用户显式地刷新页面。在Firefox中,immutable只能被用在 https:// transactions. 有关更多信息,请参阅这里
+
+ +

其他

+ +
+
no-transform
+
不得对资源进行转换或转变。Content-EncodingContent-RangeContent-Type等HTTP头不能由代理修改。例如,非透明代理或者如Google's Light Mode可能对图像格式进行转换,以便节省缓存空间或者减少缓慢链路上的流量。no-transform指令不允许这样做。
+
only-if-cached
+
表明客户端只接受已缓存的响应,并且不要向原始服务器检查是否有更新的拷贝。
+
+ +

示例

+ +

禁止缓存

+ +

发送如下响应头可以关闭缓存。此外,可以参考ExpiresPragma消息头。

+ +
Cache-Control: no-store
+
+ +

缓存静态资源

+ +

对于应用程序中不会改变的文件,你通常可以在发送响应头前添加积极缓存。这包括例如由应用程序提供的静态文件,例如图像,CSS文件和JavaScript文件。另请参阅Expires标题。

+ +
Cache-Control:public, max-age=31536000
+ +

需要重新验证

+ +

指定 no-cache 或 max-age=0 表示客户端可以缓存资源,每次使用缓存资源前都必须重新验证其有效性。这意味着每次都会发起 HTTP 请求,但当缓存内容仍有效时可以跳过 HTTP 响应体的下载。

+ +
Cache-Control: no-cache
+Cache-Control: max-age=0
+ +

规范

+ + + + + + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7234")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
{{RFC("5861")}}HTTP Cache-Control Extensions for Stale Content
draft-mcmanus-immutable-00HTTP Immutable Responses
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Cache-Control")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/clear-site-data/index.html b/files/zh-cn/web/http/headers/clear-site-data/index.html new file mode 100644 index 0000000000..01aae20940 --- /dev/null +++ b/files/zh-cn/web/http/headers/clear-site-data/index.html @@ -0,0 +1,108 @@ +--- +title: Clear-Site-Data +slug: Web/HTTP/Headers/Clear-Site-Data +tags: + - HTTP + - http头 + - 头 +translation_of: Web/HTTP/Headers/Clear-Site-Data +--- +

{{HTTPSidebar}}

+ +

Clear-Site-Data 响应头,表示清除当前请求网站有关的浏览器数据(cookie,存储,缓存)。它让Web开发人员对浏览器本地存储的数据有更多控制能力。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +

Clear-Site-Data  可以接受一个或多个参数,如果想要清除所有类型的数据,可以使用通配符("*"

+ +
// 单个参数
+Clear-Site-Data: "cache"
+
+// 多个参数 (用逗号分隔)
+Clear-Site-Data: "cache", "cookies"
+
+// 通配
+Clear-Site-Data: "*"
+
+ +

指令

+ +
+
"cache"
+
表示服务端希望删除本URL原始响应的本地缓存数据(即 :浏览器缓存,请参阅HTTP缓存)。根据浏览器的不同,可能还会清除预渲染页面,脚本缓存,WebGL着色器缓存或地址栏建议等内容。
+
"cookies"
+
表示服务端希望删除URL响应的所有cookie。 HTTP身份验证凭据也会被清除。会影响整个主域,包括子域。所以https://example.com以及https://stage.example.com的Cookie都会被清除。
+
"storage"
+
表示服务端希望删除URL原响应的所有DOM存储。这包括存储机制,如 +
    +
  • localStorage (执行 localStorage.clear),
  • +
  • sessionStorage (执行 sessionStorage.clear),
  • +
  • IndexedDB (对每个库执行  {{domxref("IDBFactory.deleteDatabase")}}),
  • +
  • 服务注册线程 (对每个服务之注册线程执行 {{domxref("ServiceWorkerRegistration.unregister")}}),
  • +
  • AppCache,
  • +
  • WebSQL 数据库,
  • +
  • FileSystem API data,
  • +
  • Plugin data (Flash via NPP_ClearSiteData).
  • +
+
+
"executionContexts"
+
表示服务端希望浏览器重新加载本请求({{domxref("Location.reload")}}).
+
"*" (通配符)
+
表示服务端希望清除原请求响应的所有类型的数据。如果在此头的未来版本中添加了更多数据类型,它们也将被涉及。
+
+ +

示例

+ +

登出

+ +

如果用户退出您的网站或服务,您可能希望删除本地存储的数据。您可以通过在https://example.com/logout的响应头增加Clear-Site-Data,以达到目的:

+ +
Clear-Site-Data: "cache", "cookies", "storage", "executionContexts"
+ +

清除cookie

+ +

如果它在https://example.com/clear-cookies的响应头中出现,则同一域 https://example.com和所有子域(如https://stage.example.com等)中的所有Cookie,将都被清除。

+ +
Clear-Site-Data: "cookies"
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusTitle
Clear Site DataWorking DraftInitial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Clear-Site-Data")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/connection/index.html b/files/zh-cn/web/http/headers/connection/index.html new file mode 100644 index 0000000000..49ed469262 --- /dev/null +++ b/files/zh-cn/web/http/headers/connection/index.html @@ -0,0 +1,55 @@ +--- +title: Connection +slug: Web/HTTP/Headers/Connection +tags: + - HTTP + - Web + - 参考 + - 头部 +translation_of: Web/HTTP/Headers/Connection +--- +
{{HTTPSidebar}}
+ +

Connection 头(header) 决定当前的事务完成后,是否会关闭网络连接。如果该值是“keep-alive”,网络连接就是持久的,不会关闭,使得对同一个服务器的请求可以继续在该连接上完成。

+ +
+

 特定于连接的标头字段(例如Connection)不得与HTTP / 2一起使用。

+
+ +

除去标准的逐段传输(hop-by-hop)头({{HTTPHeader("Keep-Alive")}}, {{HTTPHeader("Transfer-Encoding")}}, {{HTTPHeader("TE")}}, {{HTTPHeader("Connection")}}, {{HTTPHeader("Trailer")}}, {{HTTPHeader("Upgrade")}}, {{HTTPHeader("Proxy-Authorization")}} and {{HTTPHeader("Proxy-Authenticate")}}),任何逐段传输头都需要在 Connection 头中列出,这样才能让第一个代理知道必须处理它们且不转发这些头。标准的逐段传输头也可以列出(常见的例子是 {{HTTPHeader("Keep-Alive")}},但这不是必须的)。

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Connection: keep-alive
+Connection: close
+
+ +

指令

+ +
+
close
+
表明客户端或服务器想要关闭该网络连接,这是HTTP/1.0请求的默认值
+
+
以逗号分隔的HTTP头 [通常仅有 keep-alive]
+
表明客户端想要保持该网络连接打开,HTTP/1.1的请求默认使用一个持久连接。这个请求头列表由头部名组成,这些头将被第一个非透明的代理或者代理间的缓存所移除:这些头定义了发出者和第一个实体之间的连接,而不是和目的地节点间的连接。
+
+
+ +

浏览器兼容性

+ + + +
{{Compat("http.headers.Connection")}}
diff --git a/files/zh-cn/web/http/headers/content-disposition/index.html b/files/zh-cn/web/http/headers/content-disposition/index.html new file mode 100644 index 0000000000..abbd2dd7dc --- /dev/null +++ b/files/zh-cn/web/http/headers/content-disposition/index.html @@ -0,0 +1,138 @@ +--- +title: Content-Disposition +slug: Web/HTTP/Headers/Content-Disposition +tags: + - 上传 + - 文件下载 + - 表单 + - 首部 +translation_of: Web/HTTP/Headers/Content-Disposition +--- +
{{HTTPSidebar}}
+ +
在常规的 HTTP 应答中,Content-Disposition 响应头指示回复的内容该以何种形式展示,是以内联的形式(即网页或者页面的一部分),还是以附件的形式下载并保存到本地。
+ +
+ +

在 multipart/form-data 类型的应答消息体中,Content-Disposition 消息头可以被用在 multipart 消息体的子部分中,用来给出其对应字段的相关信息。各个子部分由在{{HTTPHeader("Content-Type")}} 中定义的分隔符分隔。用在消息体自身则无实际意义。

+ +

Content-Disposition 消息头最初是在 MIME 标准中定义的,HTTP 表单及 {{HTTPMethod("POST")}} 请求只用到了其所有参数的一个子集。只有 form-data 以及可选的 namefilename 三个参数可以应用在HTTP场景中。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}} (for the main body)
+ {{Glossary("General header")}} (for a subpart of a multipart body)
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +

作为消息主体中的消息头

+ +

在 HTTP 场景中,第一个参数或者是 inline(默认值,表示回复中的消息体会以页面的一部分或者整个页面的形式展示),或者是 attachment(意味着消息体应该被下载到本地;大多数浏览器会呈现一个“保存为”的对话框,将 filename 的值预填为下载后的文件名,假如它存在的话)。

+ +
Content-Disposition: inline
+Content-Disposition: attachment
+Content-Disposition: attachment; filename="filename.jpg"
+ +

作为multipart body中的消息头

+ +

在 HTTP 场景中。第一个参数总是固定不变的 form-data;附加的参数不区分大小写,并且拥有参数值,参数名与参数值用等号('=')连接,参数值用双引号括起来。参数之间用分号(';')分隔。

+ +
Content-Disposition: form-data
+Content-Disposition: form-data; name="fieldName"
+Content-Disposition: form-data; name="fieldName"; filename="filename.jpg"
+ +

指令

+ +
+
name
+
后面是一个表单字段名的字符串,每一个字段名会对应一个子部分。在同一个字段名对应多个文件的情况下(例如,带有 {{htmlattrxref("multiple", "input")}} 属性的 {{HTMLElement("input","<input type=file>")}} 元素),则多个子部分共用同一个字段名。如果 name 参数的值为 '_charset_' ,意味着这个子部分表示的不是一个 HTML 字段,而是在未明确指定字符集信息的情况下各部分使用的默认字符集。
+
filename
+
后面是要传送的文件的初始名称的字符串。这个参数总是可选的,而且不能盲目使用:路径信息必须舍掉,同时要进行一定的转换以符合服务器文件系统规则。这个参数主要用来提供展示性信息。当与 Content-Disposition: attachment 一同使用的时候,它被用作"保存为"对话框中呈现给用户的默认文件名。
+
filename*
+
+

"filename" 和 "filename*" 两个参数的唯一区别在于,"filename*" 采用了  RFC 5987 中规定的编码方式。当 "filename" 和 "filename*" 同时出现的时候,应该优先采用 "filename*",假如二者都支持的话。

+
+
+ +

示例

+ +

以下是一则可以触发"保存为"对话框的服务器应答:

+ +
200 OK
+Content-Type: text/html; charset=utf-8
+Content-Disposition: attachment; filename="cool.html"
+Content-Length: 22
+
+<HTML>Save me!</HTML>
+
+
+ +

这个简单的 HTML 文件会被下载到本地而不是在浏览器中展示。大多数浏览器默认会建议将 cool.html 作为文件名。

+ +

以下是一个HTML表单的示例,展示了在 multipart/form-data 格式的报文中使用Content-Disposition 消息头的情况:

+ +
POST /test.html HTTP/1.1
+Host: example.org
+Content-Type: multipart/form-data;boundary="boundary"
+
+--boundary
+Content-Disposition: form-data; name="field1"
+
+value1
+--boundary
+Content-Disposition: form-data; name="field2"; filename="example.txt"
+
+value2
+--boundary--
+ +

规范

+ + + + + + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7578")}}Returning Values from Forms: multipart/form-data
{{RFC("6266")}}Use of the Content-Disposition Header Field in the Hypertext Transfer Protocol (HTTP)
{{RFC("2183")}}Communicating Presentation Information in Internet Messages: The Content-Disposition Header Field
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Disposition")}}

+ +

兼容性说明

+ + + +

相关链接

+ + diff --git a/files/zh-cn/web/http/headers/content-encoding/index.html b/files/zh-cn/web/http/headers/content-encoding/index.html new file mode 100644 index 0000000000..8efd45ab7a --- /dev/null +++ b/files/zh-cn/web/http/headers/content-encoding/index.html @@ -0,0 +1,98 @@ +--- +title: Content-Encoding +slug: Web/HTTP/Headers/Content-Encoding +tags: + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Content-Encoding +--- +
{{HTTPSidebar}}
+ +

Content-Encoding 是一个实体消息首部,用于对特定媒体类型的数据进行压缩。当这个首部出现的时候,它的值表示消息主体进行了何种方式的内容编码转换。这个消息首部用来告知客户端应该怎样解码才能获取在 Content-Type 中标示的媒体类型内容。

+ +

一般建议对数据尽可能地进行压缩,因此才有了这个消息首部的出现。不过对于特定类型的文件来说,比如jpeg图片文件,已经是进行过压缩的了。有时候再次进行额外的压缩无助于负载体积的减小,反而有可能会使其增大。

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Content-Encoding: gzip
+Content-Encoding: compress
+Content-Encoding: deflate
+Content-Encoding: identity
+Content-Encoding: br
+
+ +

指令

+ +
+
gzip
+
表示采用  Lempel-Ziv coding (LZ77) 压缩算法,以及32位CRC校验的编码方式。这个编码方式最初由 UNIX 平台上的 gzip 程序采用。出于兼容性的考虑, HTTP/1.1 标准提议支持这种编码方式的服务器应该识别作为别名的 x-gzip 指令。
+
compress
+
采用 Lempel-Ziv-Welch (LZW) 压缩算法。这个名称来自UNIX系统的 compress 程序,该程序实现了前述算法。
+ 与其同名程序已经在大部分UNIX发行版中消失一样,这种内容编码方式已经被大部分浏览器弃用,部分因为专利问题(这项专利在2003年到期)。
+
deflate
+
采用 zlib 结构 (在 RFC 1950 中规定),和 deflate 压缩算法(在 RFC 1951 中规定)。
+
identity
+
用于指代自身(例如:未经过压缩和修改)。除非特别指明,这个标记始终可以被接受。
+
br
+
表示采用 Brotli 算法的编码方式。
+
+ +

示例

+ +

使用 gzip 方式进行压缩

+ +


+ 客户端可以事先声明一系列的可以支持压缩模式,与请求一齐发送。 {{HTTPHeader("Accept-Encoding")}} 这个首部就是用来进行这种内容编码形式协商的:

+ +
Accept-Encoding: gzip, deflate
+ +

服务器在 Content-Encoding 响应首部提供了实际采用的压缩模式:

+ +
Content-Encoding: gzip
+ +

需要注意的是,服务器端并不强制要求一定使用何种压缩模式。采用哪种压缩方式高度依赖于服务器端的设置,及其所采用的模块。

+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Content-Encoding", "3.1.2.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
http://www.ietf.org/id/draft-alakuijala-brotliBrotli Compressed Data Format
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Encoding")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-language/index.html b/files/zh-cn/web/http/headers/content-language/index.html new file mode 100644 index 0000000000..194aae784a --- /dev/null +++ b/files/zh-cn/web/http/headers/content-language/index.html @@ -0,0 +1,103 @@ +--- +title: Content-Language +slug: Web/HTTP/Headers/Content-Language +tags: + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Content-Language +--- +
 
+ +

Content-Language 是一个 {{Glossary("entity header")}} (实体消息首部),用来说明访问者希望采用的语言或语言组合,这样的话用户就可以根据自己偏好的语言来定制不同的内容。

+ +

举个例子,假如设置了这样一条消息首部( "Content-Language: de-DE" ),那么说明这份文件是为说德语的人提供的(当然这并不意味着文件本身就是用德语写的。比如,它可能是为说德语的人开设的英语教程的一部分,也就是用英语写的)。

+ +

如果没有指明  Content-Language,那么默认地,文件内容是提供给所有语言的访问者使用的。多个语言标签也是合法的,同样的,这个首部还可以用来描述不同媒体类型的文件,而不单单局限于文本型文档。

+ + + + + + + + + + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
{{Glossary("Simple header", "CORS-safelisted request-header")}}yes
+ +

语法

+ +
Content-Language: de-DE
+Content-Language: en-US
+Content-Language: de-DE, en-CA
+
+ +

指令

+ +
+
language-tag
+
多个语言标签需要用逗号隔开。每一个语言标签都是由一个或多个不区分大小写的子标签构成的,子标签之间用连字号 ("-", %x2D)隔开。通常情况下,一个语言标签是由标识一个大的语言家族的主语言子标签(例如"en" = English),以及后面可选的用来缩小语言范围使更确切的一系列子标签("en-CA" 表示在加拿大范围使用的英语的变种)构成的。
+
+ +
+

注意: 语言标签在 RFC 5646中被正式定义,它使用的语言代码依赖于 ISO 639 标准(通常为 ISO 639-1 code list) 。

+
+ +

示例

+ +

声明文档的书写语言

+ +

全局的 lang 属性使用在HTML元素去表达全部的 HTML文档或者部分的语言。

+ +
<html lang="de">
+ +

不要使用这个meta元素去声明文档语言:

+ +
<!-- /!\ This is bad practice -->
+<meta http-equiv="content-language" content="de">
+ +

为资源指定目标访问者

+ +

Content-Language 请求头用于指定页面的目标受众,并且可以指明当前页面存在多种语言.

+ +
Content-Language: de, en
+ +

规范

+ + + + + + + + + + + + +
规格表头
{{RFC("7231", "Content-Language", "3.1.3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Language")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-length/index.html b/files/zh-cn/web/http/headers/content-length/index.html new file mode 100644 index 0000000000..3c0cb3d100 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-length/index.html @@ -0,0 +1,63 @@ +--- +title: Content-Length +slug: Web/HTTP/Headers/Content-Length +tags: + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Content-Length +--- +
{{HTTPSidebar}}
+ +

Content-Length 是一个实体消息首部,用来指明发送给接收方的消息主体的大小,即用十进制数字表示的八位元组的数目。

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Content-Length: <length>
+
+ +

指令

+ +
+
<length>
+
消息的长度,用十进制数字表示的八位字节的数目。
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7230", "Content-Length", "3.3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Length")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-location/index.html b/files/zh-cn/web/http/headers/content-location/index.html new file mode 100644 index 0000000000..6be9dba3d8 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-location/index.html @@ -0,0 +1,70 @@ +--- +title: Content-Location +slug: Web/HTTP/Headers/Content-Location +tags: + - 内容协商 + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Content-Location +--- +
{{HTTPSidebar}}
+ +

Content-Location 首部指定的是要返回的数据的地址选项。最主要的用途是用来指定要访问的资源经过内容协商后的结果的URL。

+ +

{{HTTPHeader("Location")}} 与 Content-Location是不同的,前者({{HTTPHeader("Location")}} )指定的是一个重定向请求的目的地址(或者新创建的文件的URL),而后者( Content-Location) 指向的是可供访问的资源的直接地址,不需要进行进一步的内容协商。Location 对应的是响应,而Content-Location对应的是要返回的实体。

+ + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Content-Location: <url>
+
+ +

指令

+ +
+
<url>
+
相对地址(相对于要访问的URL)或绝对地址。
+
+ +

示例

+ +
Content-Location: /index.html
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Content-Location", "3.1.4.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Location")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-range/index.html b/files/zh-cn/web/http/headers/content-range/index.html new file mode 100644 index 0000000000..7ec65749f4 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-range/index.html @@ -0,0 +1,87 @@ +--- +title: Content-Range +slug: Web/HTTP/Headers/Content-Range +tags: + - 响应首部 + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Content-Range +--- +
{{HTTPSidebar}}
+ +

在HTTP协议中,响应首部 Content-Range 显示的是一个数据片段在整个文件中的位置。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}no
+ +

语法

+ +
Content-Range: <unit> <range-start>-<range-end>/<size>
+Content-Range: <unit> <range-start>-<range-end>/*
+Content-Range: <unit> */<size>
+ +

指令

+ +
+
<unit>
+
数据区间所采用的单位。通常是字节(byte)。
+
+ +
+
<range-start>
+
一个整数,表示在给定单位下,区间的起始值。
+
<range-end>
+
一个整数,表示在给定单位下,区间的结束值。
+
<size>
+
整个文件的大小(如果大小未知则用"*"表示)。
+
+ +

示例

+ +
Content-Range: bytes 200-1000/67589
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7233", "Content-Range", "4.2")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Range")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy-report-only/index.html b/files/zh-cn/web/http/headers/content-security-policy-report-only/index.html new file mode 100644 index 0000000000..31f917d80a --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy-report-only/index.html @@ -0,0 +1,141 @@ +--- +title: Content-Security-Policy-Report-Only +slug: Web/HTTP/Headers/Content-Security-Policy-Report-Only +translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only +--- +
{{HTTPSidebar}}
+ +

HTTP Content-Security-Policy-Report-Only响应头允许web开发人员通过监测(但不强制执行)政策的影响来尝试政策。这些违反报告由 {{Glossary("JSON")}} 文档组成通过一个HTTP POST请求发送到指定的URI。

+ +

更多相关信息, 可参见这篇文章 Content Security Policy (CSP).

+ + + + + + + + + + + + + + + +
Header 类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
这个header不支持在 {{HTMLElement("meta")}} 元素内(定义)。
+ +

语法

+ +
Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>
+
+ +

指令

+ +

{{HTTPHeader("Content-Security-Policy")}} header 的指令也可应用于 Content-Security-Policy-Report-Only.

+ +

CSP {{CSP("report-uri")}} 指令需要跟这个header一起用, 否则这个header将会是一个昂贵却无操作(无作用)的机器(设置)。

+ +

例子

+ +

这个 header 报告(统计)将会发生的违规行为。你可以使用这个header去迭代你的内容安全政策。你观察你的网站的行为,查看违反报告,然后通过 {{HTTPHeader("Content-Security-Policy")}} 头选择所需的政策。

+ +
Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/
+ +

如果你希望收到报告,而且还想执行一项策略,使用{{HTTPHeader("Content-Security-Policy")}} 头跟{{CSP("report-uri")}} 指令.

+ +
Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/
+ +

违规报告的语法

+ +

报告的JSON对象包括下面的数据:

+ +
+
document-uri
+
发生违规的文档URI。
+
referrer
+
发生违规的文档referrer。
+
blocked-uri
+
被内容安全政策阻塞加载的资源的URI。如果被阻塞的URI与文档URI不同源,则被阻塞的URI被截断为只包含scheme(协议),host(域名),和port(端口)。
+
violated-directive
+
被违反的策略名。
+
original-policy
+
 Content-Security-Policy HTTP 头部所指定的原始策略。
+
disposition
+
“执行”或“报告”取决于是使用{{HTTPHeader("Content-Security-Policy")}} 头还是使用 Content-Security-Header-Report-Only 头。
+
+ +

违规报告样例

+ +
思考一下一个地址为http://example.com/signup.html的页面。它使用了下面的策略,禁止除了来自cdn.example.com样式表外的其他任何资源。
+ +
+
Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
+
+ +
signup.html的html如下:
+ +
<!DOCTYPE html>
+<html>
+  <head>
+    <title>Sign Up</title>
+    <link rel="stylesheet" href="css/style.css">
+  </head>
+  <body>
+    ... Content ...
+  </body>
+</html>
+ +
你可以发现违规的地方吗? 只允许加载来自cdn.example.com这个域名的样式表,然而这个网站试着加载来自自己域名的样式表(http://example.com)。当文档被访问时,可以执行CSP(内容安全策略)的浏览器将会用POST请求发送以下违规报告到http://example.com/_/csp-reports:
+ +
{
+  "csp-report": {
+    "document-uri": "http://example.com/signup.html",
+    "referrer": "",
+    "blocked-uri": "http://example.com/css/style.css",
+    "violated-directive": "style-src cdn.example.com",
+    "original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports",
+    "disposition": "report"
+  }
+}
+ +

正如你所看到的,报告在blocked-uri上记录了违反资源的完整路径。这并非总是如此。例如,当 signup.html 试图从 http://anothercdn.example.com/stylesheet.css加载CSS,浏览器不会包含完整路径,只包含来源。这样做是为了防止泄漏跨域资源的敏感信息。

+ +

规范

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Security-Policy-Report-Only")}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/base-uri/index.html b/files/zh-cn/web/http/headers/content-security-policy/base-uri/index.html new file mode 100644 index 0000000000..1581c12994 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/base-uri/index.html @@ -0,0 +1,106 @@ +--- +title: 'CSP: base-uri' +slug: Web/HTTP/Headers/Content-Security-Policy/base-uri +tags: + - CSP + - HTTP + - 安全 + - 指令 + - 文档指令 +translation_of: Web/HTTP/Headers/Content-Security-Policy/base-uri +--- +
{{HTTPSidebar}}
+ +

HTTP 协议 {{HTTPHeader("Content-Security-Policy")}} 首部字段中的 base-uri 指令限制了可以应用于一个文档的 {{HTMLElement("base")}} 元素的 URL。假如指令值为空,那么任何 URL 都是允许的。如果指令不存在,那么用户代理会使用 {{HTMLElement("base")}} 元素中的值。 

+ + + + + + + + + + + + + + + + +
CSP version2
Directive type{{Glossary("Document directive")}}
{{CSP("default-src")}} fallbackNo. Not setting this allows anything.
+ +

语法

+ +

base-uri 安全策略可以设置一个或多个源:

+ +
Content-Security-Policy: base-uri <source>;
+Content-Security-Policy: base-uri <source> <source>;
+
+ +

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +

示例

+ +

Meta tag 配置

+ +
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'">
+ +

Apache 配置

+ +
<IfModule mod_headers.c>
+Header set Content-Security-Policy "base-uri 'self';
+</IfModule>
+ +

Nginx 配置

+ +
add_header Content-Security-Policy "base-uri 'self';"
+ +

违犯策略的案例

+ +

假如你的域名不是 example.com,那么将 {{HTMLElement("base")}} 元素的 href 属性值设置成 example.com 会违犯 CSP 策略。

+ +
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'">
+<base href="http://example.com/">
+
+// Error: Refused to set the document's base URI to 'http://example.com/'
+// because it violates the following Content Security Policy
+// directive: "base-uri 'self'"
+ +

规范

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-base-uri", "base-uri")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-base-uri", "base-uri")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.csp.base-uri")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/block-all-mixed-content/index.html b/files/zh-cn/web/http/headers/content-security-policy/block-all-mixed-content/index.html new file mode 100644 index 0000000000..bda0d06114 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/block-all-mixed-content/index.html @@ -0,0 +1,58 @@ +--- +title: 'CSP: block-all-mixed-content' +slug: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content +translation_of: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content +--- +
{{HTTPSidebar}}
+ +

HTTP 协议首部字段 {{HTTPHeader("Content-Security-Policy")}} (CSP) 中的 block-all-mixed-content 指令在当前页面为通过 HTTPS 协议加载的情况下禁止通过 HTTP 渠道加载任何资源。

+ +

任何混合类型的资源请求都是被禁止的,包括混合活动内容和混合被动内容。这一条也适用于 {{HTMLElement("iframe")}} 中的文档,确保整体页面都不包含混合内容。

+ +

{{CSP("upgrade-insecure-requests")}} 指令会在 block-all-mixed-content 之前执行;如果前者执行成功,后者就不再发挥任何作用。推荐的做法是设置二者之一,而不是全部。

+ +

语法

+ +
Content-Security-Policy: block-all-mixed-content;
+ +

示例

+ +
Content-Security-Policy: block-all-mixed-content;
+
+<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
+
+ +

为了在更细粒度上限制对 http 资源的访问,你可以将个别指令的值设置为 "https:"。例如,为了限制对不安全的走 http 协议的图片的访问,可以这么做:

+ +
Content-Security-Policy: img-src https:
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("Mixed Content", "#block-all-mixed-content", "block-all-mixed-content")}}{{Spec2('Mixed Content')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.csp.block-all-mixed-content")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/child-src/index.html b/files/zh-cn/web/http/headers/content-security-policy/child-src/index.html new file mode 100644 index 0000000000..6299b2768c --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/child-src/index.html @@ -0,0 +1,89 @@ +--- +title: 'CSP: child-src' +slug: Web/HTTP/Headers/Content-Security-Policy/child-src +translation_of: Web/HTTP/Headers/Content-Security-Policy/child-src +--- +
{{HTTPSidebar}}
+ +

The HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) child-src directive defines the valid sources for web workers and nested browsing contexts loaded using elements such as {{HTMLElement("frame")}} and {{HTMLElement("iframe")}}. For workers, non-compliant requests are treated as fatal network errors by the user agent.

+ + + + + + + + + + + + + + + + +
CSP version2
Directive type{{Glossary("Fetch directive")}}
{{CSP("default-src")}} fallbackYes. If this directive is absent, the user agent will look for the default-src directive.
+ +

Syntax

+ +

One or more sources can be allowed for the child-src policy:

+ +
Content-Security-Policy: child-src <source>;
+Content-Security-Policy: child-src <source> <source>;
+
+ +

Sources

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}

+ +

Examples

+ +

Violation cases

+ +

Given this CSP header:

+ +
Content-Security-Policy: child-src https://example.com/
+ +

This {{HTMLElement("iframe")}} and worker are blocked and won't load:

+ +
<iframe src="https://not-example.com"></iframe>
+
+<script>
+  var blockedWorker = new Worker("data:application/javascript,...");
+</script>
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-child-src", "child-src")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-child-srci", "child-src")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.Content-Security-Policy.child-src")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/connect-src/index.html b/files/zh-cn/web/http/headers/content-security-policy/connect-src/index.html new file mode 100644 index 0000000000..3951f7ee6b --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/connect-src/index.html @@ -0,0 +1,114 @@ +--- +title: 'CSP: connect-src' +slug: Web/HTTP/Headers/Content-Security-Policy/connect-src +translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src +--- +
{{HTTPSidebar}}
+ +

HTTP协议头部{{HTTPHeader("Content-Security-Policy")}} (CSP)的connect-src 指令用于控制允许通过脚本接口加载的链接地址。其中受到影响的API如下: 

+ + + + + + + + + + + + + + + + + + +
CSP version1
Directive type{{Glossary("Fetch directive")}}
{{CSP("default-src")}} fallbackYes. If this directive is absent, the user agent will look for the default-src directive.
+ +

Syntax

+ +

connect-src 可以设置一个或者多个源地址: 

+ +
Content-Security-Policy: connect-src <source>;
+Content-Security-Policy: connect-src <source> <source>;
+
+ +

Sources

+ +

{{page("/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +

Examples

+ +

Violation cases

+ +

给定如下CSP头部: 

+ +
Content-Security-Policy: connect-src https://example.com/
+ +

如下的连接请求会被阻塞且不会加载: 

+ +
<a ping="https://not-example.com">
+
+<script>
+  var xhr = new XMLHttpRequest();
+  xhr.open('GET', 'https://not-example.com/');
+  xhr.send();
+
+  var ws = new WebSocket("https://not-example.com/");
+
+  var es = new EventSource("https://not-example.com/");
+
+  navigator.sendBeacon("https://not-example.com/", { ... });
+</script>
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-connect-src", "connect-src")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-connect-src", "connect-src")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.connect-src")}}

+ +

Compatibility notes

+ + + +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/default-src/index.html b/files/zh-cn/web/http/headers/content-security-policy/default-src/index.html new file mode 100644 index 0000000000..01cbd8079d --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/default-src/index.html @@ -0,0 +1,151 @@ +--- +title: 'CSP: default-src' +slug: Web/HTTP/Headers/Content-Security-Policy/default-src +tags: + - 内容安全策略 + - 安全 + - 超文本传输协议 +translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src +--- +
{{HTTPSidebar}}
+ +

在 HTTP 协议中,{{HTTPHeader("Content-Security-Policy")}} (CSP) 首部字段中的 default-src 指令可以为其他 CSP 拉取指令({{Glossary("fetch directive", "fetch directives")}})提供备选项。对于以下列出的指令,假如不存在的话,那么用户代理会查找并应用 default-src 指令的值。

+ + + + + + + + + + + + + + +
CSP 版本1
指令类型{{Glossary("Fetch directive")}}
+ +

语法

+ +

default-src 策略允许指定一个或多个源:

+ +
Content-Security-Policy: default-src <source>;
+Content-Security-Policy: default-src <source> <source>;
+
+ +

+ +

<source> 可以是以下之一:

+ +
+
<host-source>
+
以域名或者 IP 地址表示的主机名,外加可选的 URL 协议名(URL scheme)以及端口号。站点地址中可能会包含一个可选的前置通配符(星号 '*'),同时也可以将通配符(也是'*')应用于端口号,表示在这个源中可以使用任意合法的端口号。
+ 举例说明: +
    +
  • http://*.example.com: 匹配从使用 http: 的 example.com 的任意子域的资源加载。
  • +
  • mail.example.com:443:匹配对 mail.example.com 上的 443 端口号的访问。
  • +
  • https://store.example.com: 匹配对使用了 https: 的 store.example.com 的访问。
  • +
+
+
<scheme-source>
+
协议名如'http:' 或者 'https:'。必须带有冒号,不要有单引号。同时你还可以指定数据协议(data schema)(不推荐使用)。 +
    +
  • data: 允许 data: URIs 作为内容的源。这是不安全的。攻击者可以注入任意 data: URI 。不要轻易使用这种形式的源,尤其是脚本,绝对不要使用。
  • +
  • mediastream: 允许 mediastream: URIs 作为内容的源
  • +
  • blob: 允许 blob: URIs 作为内容的源
  • +
  • filesystem: 允许 filesystem: URIs 作为内容的源
  • +
+
+
'self'
+
指向与要保护的文件所在的源,包括相同的 URL scheme 与端口号。必须有单引号。一些浏览器会特意排除 blob 与 filesystem 。需要设定这两种内容类型的站点可以在 Data 属性中进行设定。
+
'unsafe-inline'
+
允许使用内联资源,例如内联 {{HTMLElement("script")}}  元素(javascript: URL)、内联事件处理器以及内联 {{HTMLElement("style")}} 元素。必须有单引号。
+
'unsafe-eval'
+
允许使用 eval() 以及相似的函数来从字符串创建代码。必须有单引号。
+
'none'
+
不允许任何内容。 必须有单引号。
+
'nonce-<base64值>'
+
特定使用一次性加密内联脚本的白名单。服务器必须在每一次传输政策时生成唯一的一次性值。否则将存在绕过资源政策的可能。请参见不安全的内联脚本查看示例。
+
<hash-source>
+
使用 sha256、sha384 或 sha512 编码过的内联脚本或样式。其由用短划线分隔的两部分组成: 用于创建哈希的加密算法, 以及脚本或样式base64编码的哈希值。当生成哈希值的时候,不要包含 <script> 或 <style> 标签,同时注意字母大小写与空格——包括首尾空格——都是会影响生成的结果的。请参见不安全的内联脚本
+
'strict-dynamic'
+
strict-dynamic 指定对于含有标记脚本(通过附加一个随机数或散列)的信任,应该传播到由该脚本加载的所有脚本。与此同时,任何白名单以及源表达式例如 'self'  或者  'unsafe-inline' 都会被忽略。参见 script-src 。
+
+ +

示例

+ +

不继承 default-src 的情况

+ +

假如设定了其他指令,那么 default-src 不会对它们起作用。这个首部

+ +
Content-Security-Policy: default-src 'self'; script-src https://example.com
+ +

与下列代码等价:

+ +
Content-Security-Policy: connect-src 'self';
+                         font-src 'self';
+                         frame-src 'self';
+                         img-src 'self';
+                         manifest-src 'self';
+                         media-src 'self';
+                         object-src 'self';
+                         script-src https://example.com;
+                         style-src 'self';
+                         worker-src 'self'
+ +

规范

+ + + + + + + + + + + + + + + + + + + +
规范状态注释
{{specName("CSP 3.0", "#directive-default-src", "default-src")}}{{Spec2('CSP 3.0')}}Added frame-src, manifest-src and worker-src as defaults.
{{specName("CSP 1.1", "#directive-default-src", "default-src")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.csp.default-src")}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/font-src/index.html b/files/zh-cn/web/http/headers/content-security-policy/font-src/index.html new file mode 100644 index 0000000000..89d24a698c --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/font-src/index.html @@ -0,0 +1,99 @@ +--- +title: 'CSP: font-src' +slug: Web/HTTP/Headers/Content-Security-Policy/font-src +tags: + - CSP + - HTTP + - 内容安全策略 + - 参考 + - 安全 +translation_of: Web/HTTP/Headers/Content-Security-Policy/font-src +--- +
{{HTTPSidebar}}
+ +

HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP 内容安全策略) 中 font-src 指令定义了 {{cssxref("@font-face")}} 加载字体的有效源规则。

+ + + + + + + + + + + + + + + + +
CSP 版本1
指令类型{{Glossary("Fetch directive")}}
{{CSP("default-src")}} 替代是。如果 font-src 没有指定,则使用 default-src 指令。
+ +

语法

+ +

font-src 策略可以包含一个或多个源:

+ +
Content-Security-Policy: font-src <source>;
+Content-Security-Policy: font-src <source> <source>;
+
+ +

源代码

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +

示例

+ +

反例

+ +

给出这个 CSP 头:

+ +
Content-Security-Policy: font-src https://example.com/
+
+ +

以下的字体源将被阻止,不会加载到浏览器中:

+ +
<style>
+  @font-face {
+    font-family: "MyFont";
+    src: url("https://not-example.com/font");
+  }
+  body {
+    font-family: "MyFont";
+  }
+</style>
+ +

规范

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-font-src", "font-src")}}{{Spec2('CSP 3.0')}}无变化
{{specName("CSP 1.1", "#directive-font-src", "font-src")}}{{Spec2('CSP 1.1')}}首次定义
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.csp.font-src")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/form-action/index.html b/files/zh-cn/web/http/headers/content-security-policy/form-action/index.html new file mode 100644 index 0000000000..8bf84073c7 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/form-action/index.html @@ -0,0 +1,102 @@ +--- +title: 'CSP: form-action' +slug: Web/HTTP/Headers/Content-Security-Policy/form-action +translation_of: Web/HTTP/Headers/Content-Security-Policy/form-action +--- +
{{HTTPSidebar}}
+ +

HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) 的 form-action 指令能够限定当前页面中表单的提交地址。

+ +
+

在表单提交之后, form-action 指令是否应该阻止重定向仍有待讨论,各个浏览器对于此行为的实现也不尽相同(例如,Chrome 63会阻止重定向,而Firefox 57则不会)。

+
+ + + + + + + + + + + + + + + + +
CSP version2
Directive type{{Glossary("Navigation directive")}}
{{CSP("default-src")}} fallbackNo. 未设定时允许任何值.
+ +

语法

+ +

form-action 策略允许设定一个或多个源:

+ +
Content-Security-Policy: form-action <source>;
+Content-Security-Policy: form-action <source> <source>;
+
+ +

示例

+ +

meta标签配置

+ +
<meta http-equiv="Content-Security-Policy" content="form-action 'none'">
+ +

Apache服务器配置

+ +
<IfModule mod_headers.c>
+Header set Content-Security-Policy "form-action 'none';
+</IfModule>
+ +

Nginx配置

+ +
add_header Content-Security-Policy "form-action 'none';"
+ +

反例

+ +

将 {{HTMLElement("form")}} 元素的action设置为内联 JavaScript 会违反CSP规则。

+ +
<meta http-equiv="Content-Security-Policy" content="form-action 'none'">
+
+<form action="javascript:alert('Foo')" id="form1" method="post">
+  <input type="text" name="fieldName" value="fieldValue">
+  <input type="submit" id="submit" value="submit">
+</form>
+
+// Error: Refused to send form data because it violates the following
+// Content Security Policy directive: "form-action 'none'".
+ +

规范

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-form-action", "form-action")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-form-action", "form-action")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.csp.form-action")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/frame-ancestors/index.html b/files/zh-cn/web/http/headers/content-security-policy/frame-ancestors/index.html new file mode 100644 index 0000000000..23dd67cca2 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/frame-ancestors/index.html @@ -0,0 +1,110 @@ +--- +title: 'CSP: frame-ancestors' +slug: Web/HTTP/Headers/Content-Security-Policy/frame-ancestors +translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-ancestors +--- +
{{HTTPSidebar}}
+ +

HTTP头部 {{HTTPHeader("Content-Security-Policy")}} (CSP) 中的frame-ancestors 指令指定了一个可以包含{{HTMLElement("frame")}},{{HTMLElement("iframe")}},{{HTMLElement("object")}},{{HTMLElement("embed")}},or {{HTMLElement("applet")}}等元素的有效父级。

+ +

当该指令设置为'none'时,其作用类似于{{HTTPHeader("X-Frame-Options")}}: DENY (该头部被一些老版本浏览器所支持)。

+ + + + + + + + + + + + + + + + + + + +
CSP版本(CSP version)2
指令类型(Directive type){{Glossary("Navigation directive")}}
是否后备使用{{CSP("default-src")}}否。如未设置则允许所有可能值。
该指令不支持通过{{HTMLElement("meta")}} 元素或通过 {{HTTPHeader("Content-Security-policy-Report-Only")}} 头域所指定.
+ +

Syntax

+ +

frame-ancestors策略可以设置一个或多个源<source>:

+ +
Content-Security-Policy: frame-ancestors <source>;
+Content-Security-Policy: frame-ancestors <source> <source>;
+
+ +

Sources

+ +

<source> 可以是如下内容:

+ +
+

frame-ancestors指令的语法类似于其他指令的源列表(source list,如{{CSP("default-src")}}),但不允许'unsafe-eval'或'unsafe-inline' 。它也不会回退使用default-src的值。仅有如下的源列表是可用的:

+
+ +
+
<host-source>
+
一个Internet主机的名称或IP地址,以及一个可选的URL scheme和/或端口号。这些站点的地址可以包含一个可选的引导通配符(星号, '*'),或者你可以使用通配符(同样还是, '*')作为端口地址,以示这个源的所有合法端口地址都是有效的。
+ 例子: +
    +
  • http://*.example.com: 匹配所有使用http:URL scheme并来对于example.com及其子域名的加载意图。
  • +
  • mail.example.com:443: 匹配所有对于mail.example.com在443端口的访问意图。
  • +
  • https://store.example.com: 匹配所有使用https:访问store.example.com的意图。
  • +
+
+
<scheme-source>
+
一个schema配置,比如'http:'或'https:'。注意,冒号是必要的。你同样也可以指定一个data schema(但并不推荐)。 +
    +
  • 'data:' 允许 data: URIs 作为内容源。 这是不安全的,攻击者可以用此来注入恶意代码。请谨慎使用,并不要令其作用于脚本。
  • +
  • 'mediastream:' 允许 mediastream: URIs 作为内容源.
  • +
  • 'blob:' 允许 blob: URIs 作为内容源.
  • +
  • 'filesystem:' 允许 filesystem: URIs 作为内容源.
  • +
+
+
'self'
+
指向一个该受保护文档所在的源,包含同样的URL schema和端口号。必须用单引号设置。有些浏览器会从源指令中排除blobfilesystem。需要允许这些内容类型的站点可以通过Data属性指定它们。
+
'none'
+
指向一个空集,意味着没有URL会被匹配。也需要单引号包裹设置。
+
+ +

Examples

+ +
Content-Security-Policy: frame-ancestors 'none';
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-frame-ancestors", "frame-ancestors")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-frame-ancestors", "frame-ancestors")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.frame-ancestors")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/index.html b/files/zh-cn/web/http/headers/content-security-policy/index.html new file mode 100644 index 0000000000..391086d5a6 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/index.html @@ -0,0 +1,226 @@ +--- +title: Content-Security-Policy +slug: Web/HTTP/Headers/Content-Security-Policy +translation_of: Web/HTTP/Headers/Content-Security-Policy +--- +
{{HTTPSidebar}}
+ +
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)({{Glossary("XSS")}})。
+ +

如需更多信息,请查阅Content Security Policy (CSP)

+ + + + + + + + + + + + +
头部类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Content-Security-Policy: <policy-directive>; <policy-directive>
+
+ +

指令

+ +

获取指令:{{Glossary("Fetch directive", "Fetch directives")}}

+ +

通过获取指令来控制某些可能被加载的确切的资源类型的位置。

+ +
+
{{CSP("child-src")}}
+
child-src:web workers 和其他内嵌浏览器内容(例如用{{HTMLElement("frame")}}和{{HTMLElement("iframe")}}加载到页面的内容)定义合法的源地址。
+
+
+

如果开发者希望管控内嵌浏览器内容和 web worker 应分别使用{{CSP("frame-src")}}和{{CSP("worker-src")}} 指令,来相对的取代 child-src

+
+
+
+
{{CSP("connect-src")}}
+
connect-src:限制能通过脚本接口加载的URL。
+
{{CSP("default-src")}}
+
default-src:为其他取指令提供备用服务{{Glossary("Fetch directive", "fetch directives")}}。
+
{{CSP("font-src")}}
+
font-src:设置允许通过{{cssxref("@font-face")}}加载的字体源地址。
+
{{CSP("frame-src")}}
+
frame-src: 设置允许通过类似{{HTMLElement("frame")}}和{{HTMLElement("iframe")}}标签加载的内嵌内容的源地址。
+
{{CSP("img-src")}}
+
img-src: 限制图片和图标的源地址
+
{{CSP("manifest-src")}}
+
manifest-src : 限制应用声明文件的源地址。
+
{{CSP("media-src")}}
+
media-src:限制通过{{HTMLElement("audio")}}、{{HTMLElement("video")}}或{{HTMLElement("track")}}标签加载的媒体文件的源地址。
+
{{CSP("object-src")}}
+
object-src:限制{{HTMLElement("object")}}、{{HTMLElement("embed")}}、{{HTMLElement("applet")}}标签的源地址。
+
+ +
+

object-src控制的元素可能碰巧被当作遗留HTML元素,导致不支持新标准中的功能(例如<iframe>中的安全属性sandboxallow)。因此建议限制该指令的使用(比如,如果可行,将object-src显式设置为'none')。

+
+ +
+
{{CSP("prefetch-src")}} 
+
指定预加载或预渲染的允许源地址。
+
{{CSP("script-src")}}
+
限制JavaScript的源地址。
+
{{CSP("style-src")}}
+
限制层叠样式表文件源。
+
{{CSP("webrtc-src")}} {{experimental_inline}}
+
指定WebRTC连接的合法源地址。
+
{{CSP("worker-src")}}
+
限制{{domxref("Worker")}}、{{domxref("SharedWorker")}}或者{{domxref("ServiceWorker")}}脚本源。
+
+ +

文档指令 | Document directives

+ +

文档指令管理文档属性或者worker环境应用的策略。

+ +
+
{{CSP("base-uri")}}
+
限制在DOM中{{HTMLElement("base")}}元素可以使用的URL。
+
{{CSP("plugin-types")}}
+
通过限制可以加载的资源类型来限制哪些插件可以被嵌入到文档中。
+
{{CSP("sandbox")}}
+
类似{{HTMLElement("iframe")}} {{htmlattrxref("sandbox", "iframe")}}属性,为请求的资源启用沙盒。
+
{{CSP("disown-opener")}} {{obsolete_inline}}
+
确保资源在导航的时候能够脱离父页面。(windown.opener 对象)Ensures a resource will disown its opener when navigated to.
+
+ +

导航指令 | Navigation directives

+ +

导航指令管理用户能打开的链接或者表单可提交的链接

+ +
+
{{CSP("form-action")}}
+
限制能被用来作为给定上下文的表单提交的目标 URL(说白了,就是限制 form 的 action 属性的链接地址)
+
{{CSP("frame-ancestors")}}
+
指定可能嵌入页面的有效父项{{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, or {{HTMLElement("applet")}}.
+
{{CSP("navigation-to")}} {{experimental_inline}}
+
限制文档可以通过以下任何方式访问URL (a, form, window.location, window.open, etc.)
+
+ +

报告指令

+ +

报告指令控制 CSP 违规的报告过程. 更多请看 {{HTTPHeader("Content-Security-Policy-Report-Only")}} 报头.

+ +
+
{{CSP("report-uri")}} {{deprecated_inline}}
+
当出现可能违反CSP的操作时,让客户端提交报告。这些违规报告会以JSON文件的格式通过POST请求发送到指定的URI
+
{{CSP("report-to")}} {{experimental_inline}}
+
Fires a SecurityPolicyViolationEvent.
+
+ +

其他指令 | Other directives

+ +
+
{{CSP("block-all-mixed-content")}}
+
当使用HTTPS加载页面时阻止使用HTTP加载任何资源。
+
{{CSP("referrer")}} {{obsolete_inline}}
+
用来指定会离开当前页面的跳转链接的 referer header 信息。应该使用 {{HTTPHeader("Referrer-Policy")}} 替代。
+
{{CSP("require-sri-for")}}
+
需要使用 {{Glossary("SRI")}} 作用于页面上的脚本或样式。
+
{{CSP("upgrade-insecure-requests")}}
+
让浏览器把一个网站所有的不安全 URL(通过 HTTP 访问)当做已经被安全的 URL 链接(通过 HTTPS 访问)替代。这个指令是为了哪些有量大不安全的传统 URL 需要被重写时候准备的。
+
+ +

CSP 和 Workers

+ +

Workers 一般来说不被创建他的文档(或者父级Worker)的CSP策略管理。如果要为Worker指定CSP策略,可以为Worker脚本的请求的响应的头部设置CSP策略。 

+ +

例外的情况是,如果Worker脚本的来源是一个全局唯一ID(比如,它的URL是一个结构化的数据或者BLOB)。在这种情况下,这个Worker会继承它所属的文档或者创建它的Worker的CSP策略。

+ +

多内容安全策略

+ +

CSP 允许在一个资源中指定多个策略, 包括通过 Content-Security-Policy 头, 以及 {{HTTPHeader("Content-Security-Policy-Report-Only")}} 头,和 {{HTMLElement("meta")}} 组件。

+ +

你可以像以下实例一样多次调用 Content-Security-Policy 头。 特别注意这里的 {{CSP("connect-src")}} 指令。 尽管第二个策略允许连接, 第一个策略仍然包括了 connect-src 'none'。添加了附加的策略后,只会让资源保护的能力更强,也就是说不会有接口可以被允许访问,等同于最严格的策略,connect-src 'none' 强制开启。

+ +
Content-Security-Policy: default-src 'self' http://example.com;
+                         connect-src 'none';
+Content-Security-Policy: connect-src http://example.com/;
+                         script-src http://example.com/
+ +

示例

+ +

示例: 禁用不安全的内联/动态执行, 只允许通过 https加载这些资源 (images, fonts, scripts, etc.)

+ +
// header
+Content-Security-Policy: default-src https:
+
+// meta tag
+<meta http-equiv="Content-Security-Policy" content="default-src https:">
+
+ +

示例: 已经存在的一个网站,用了太多内联代码修复问题,而且想确保资源只从 https 加载,并且禁止插件:

+ +
Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'
+ +

实例:还没有开始实施上面的策略;相反,只是开始上报可能会发生违反安全策略的行为:

+ +
Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/
+ +

查看 Mozilla Web Security Guidelines 上的更多例子.

+ +

规范

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
规范状态注释
{{specName("CSP 3.0")}}{{Spec2('CSP 3.0')}}Adds disown-opener, manifest-src, navigation-to, report-uri, strict-dynamic, worker-src. Undeprecates frame-src. Deprecates report-uri in favor if report-to.
{{specName("Mixed Content")}}{{Spec2('Mixed Content')}}Adds block-all-mixed-content.
{{specName("Subresource Integrity")}}{{Spec2('Subresource Integrity')}}Adds require-sri-for.
{{specName("Upgrade Insecure Requests")}}{{Spec2('Upgrade Insecure Requests')}}Adds upgrade-insecure-requests.
{{specName("CSP 1.1")}}{{Spec2('CSP 1.1')}}Adds base-uri, child-src, form-action, frame-ancestors, plugin-types, referrer, reflected-xss, and report-uri. Deprecates frame-src.
{{specName("CSP 1.0")}}{{Spec2('CSP 1.0')}}Defines connect-src, default-src, font-src, frame-src, img-src, media-src, object-src, report-uri, sandbox, script-src, and style-src.
+ +

浏览器兼容性

+ + + +

{{Compat("http/headers/content-security-policy", "Content-Security-Policy")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/report-to/index.html b/files/zh-cn/web/http/headers/content-security-policy/report-to/index.html new file mode 100644 index 0000000000..9789e2363d --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/report-to/index.html @@ -0,0 +1,82 @@ +--- +title: report-to +slug: Web/HTTP/Headers/Content-Security-Policy/report-to +translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to +--- +

Report-To HTTP响应头部指示客户端存储特定域名的报告端点。

+ +
Content-Security-Policy: ...; report-to groupname
+
+ +

该指令本身没有任何影响,仅与其他指令结合起来才有意义。

+ + + + + + + + + + + + + + + +
CSP version1
指令类型{{Glossary("Reporting directive")}}
+

{{HTMLElement("meta")}} 元素并不支持该指令

+
+ +

 

+ +

Syntax

+ +

 

+ +
Content-Security-Policy: report-to <json-field-value>;
+ +

Examples

+ +

可以查看{{HTTPHeader("Content-Security-Policy-Report-Only")}}获取更多信息和示例。

+ +
Report-To: { "group": "csp-endpoint",
+             "max-age": 10886400,
+             "endpoints": [
+               { "url": "https://example.com/csp-reports" }
+             ] },
+           { "group": "hpkp-endpoint",
+             "max-age": 10886400,
+             "endpoints": [
+               { "url": "https://example.com/hpkp-reports" }
+             ] }
+Content-Security-Policy: ...; report-to csp-endpoint
+
+ +

 

+ +
Report-To: { "group": "endpoint-1",
+             "max-age": 10886400,
+             "endpoints": [
+               { "url": "https://example.com/reports" },
+               { "url": "https://backup.com/reports" }
+             ] }
+
+Content-Security-Policy: ...; report-to endpoint-1
+ +

 

+ +

Browser compatibility

+ +

The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.

+ +

{{Compat("http.headers.csp.report-to")}}

+ +

See also

+ + + +

 

diff --git a/files/zh-cn/web/http/headers/content-security-policy/require-sri-for/index.html b/files/zh-cn/web/http/headers/content-security-policy/require-sri-for/index.html new file mode 100644 index 0000000000..0c79f8e21b --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/require-sri-for/index.html @@ -0,0 +1,70 @@ +--- +title: 'CSP: require-sri-for' +slug: Web/HTTP/Headers/Content-Security-Policy/require-sri-for +translation_of: Web/HTTP/Headers/Content-Security-Policy/require-sri-for +--- +
{{HTTPSidebar}}
+ +

HTTP协议 {{HTTPHeader("Content-Security-Policy")}}头部的require-sri-for指令指示客户端在页面上对脚本或样式使用子资源完整性策略。

+ +

Syntax

+ +
Content-Security-Policy: require-sri-for script;
+Content-Security-Policy: require-sri-for style;
+Content-Security-Policy: require-sri-for script style;
+
+ +
+
script
+
要求脚本符合{{Glossary("SRI")}}。
+
style
+
要求样式资源满足 {{Glossary("SRI")}}。
+
script style
+
要求脚本和样式资源都满足{{Glossary("SRI")}}。
+
+ +

Examples

+ +

如果你通过如下指令将站点设置为要求脚本和资源满足SRI策略: 

+ +
Content-Security-Policy: require-sri-for script style
+ +

{{HTMLElement("script")}} 元素会被加载,因为它们拥有有效的完整性属性。

+ +
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
+        integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
+        crossorigin="anonymous"></script>
+ +

但是,没有完整性属性的脚本将不会再加载:

+ +
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>
+ +

Specifications

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("Subresource Integrity", "#opt-in-require-sri-for", "require-sri-for")}}{{Spec2('Subresource Integrity')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.require-sri-for")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/sandbox/index.html b/files/zh-cn/web/http/headers/content-security-policy/sandbox/index.html new file mode 100644 index 0000000000..7420675567 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/sandbox/index.html @@ -0,0 +1,99 @@ +--- +title: 'CSP: sandbox' +slug: Web/HTTP/Headers/Content-Security-Policy/sandbox +tags: + - CSP + - XSS防御 + - http头 + - 安全 +translation_of: Web/HTTP/Headers/Content-Security-Policy/sandbox +--- +
{{HTTPSidebar}}
+ +

The HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) sandbox directive enables a sandbox for the requested resource similar to the {{HTMLElement("iframe")}} {{htmlattrxref("sandbox", "iframe")}} attribute. It applies restrictions to a page's actions including preventing popups, preventing the execution of plugins and scripts, and enforcing a same-origin policy.

+ + + + + + + + + + + + + + + +
CSP version1.1 / 2
Directive type{{Glossary("Document directive")}}
This directive is not supported in the {{HTMLElement("meta")}} element or by the {{HTTPHeader("Content-Security-policy-Report-Only")}} header field.
+ +

句法

+ +
Content-Security-Policy: sandbox;
+Content-Security-Policy: sandbox <value>;
+
+ +

<value>可以选择是以下值之一:

+ +
+
allow-forms
+
允许嵌入式浏览上下文提交表单。如果未使用此关键字,则不允许此操作。
+
allow-modals
+
允许嵌入式浏览上下文打开模态窗口。
+
allow-orientation-lock
+
允许嵌入式浏览上下文禁用锁定屏幕方向的功能。
+
allow-pointer-lock
+
允许嵌入式浏览上下文使用Pointer Lock API
+
allow-popups
+
允许弹出窗口(像window.opentarget="_blank"showModalDialog)。如果未使用此关键字,则该功能将无提示失败。
+
allow-popups-to-escape-sandbox
+
允许沙盒文档打开新窗口而不强制沙盒标记。例如,这将允许安全地沙箱化第三方广告,而不会对登陆页面施加相同的限制。
+
allow-presentation
+
允许嵌入器控制iframe是否可以启动演示会话。
+
allow-same-origin
+
允许将内容视为来自其正常来源。如果未使用此关键字,则嵌入的内容将被视为来自唯一来源。
+
allow-scripts
+
允许嵌入式浏览上下文运行脚本(但不创建弹出窗口)。如果未使用此关键字,则不允许此操作。
+
allow-top-navigation
+
允许嵌入式浏览上下文将内容导航(加载)到顶级浏览上下文。如果未使用此关键字,则不允许此操作。
+
+ +

例子

+ +
Content-Security-Policy: sandbox allow-scripts;
+ +

Specifications

+ + + + + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-sandbox", "sandbox")}}{{Spec2('CSP 3.0')}}No changes.
{{specName("CSP 1.1", "#directive-sandbox", "sandbox")}}{{Spec2('CSP 1.1')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.csp.sandbox")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/script-src-elem/index.html b/files/zh-cn/web/http/headers/content-security-policy/script-src-elem/index.html new file mode 100644 index 0000000000..674e7bd9b0 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/script-src-elem/index.html @@ -0,0 +1,87 @@ +--- +title: 'CSP: script-src-elem' +slug: Web/HTTP/Headers/Content-Security-Policy/script-src-elem +translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-elem +--- +
{{HTTPSidebar}}
+ +

HTTP协议中 {{HTTPHeader("Content-Security-Policy")}} (CSP) script-src-elem 指示符明指定了合法的js要素来源 {{HTMLElement("script")}} ,但是不包括类似onclick这样的事件处理器中包含的内联脚本。

+ + + + + + + + + + + + + + + + +
CSP 版本3
Directive type{{Glossary("Fetch directive")}}
{{CSP("default-src")}} fallbackYes. If this directive is absent, the user agent will look for the {{CSP("script-src")}} directive, and if both of them are absent, fallback to default-src directive.
+ +

语法

+ +

 script-src-elem 可以允许多个来源:

+ +
Content-Security-Policy: script-src-elem <source>;
+Content-Security-Policy: script-src-elem <source> <source>;
+
+ +

script-src-elem 可以跟 {{CSP("script-src")}}一起用:

+ +
Content-Security-Policy: script-src <source>;
+Content-Security-Policy: script-src-elem <source>;
+
+ +

Sources

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +

范例

+ +

回退到 script-src

+ +

如果没有 script-src-elem 存在, 客户端会回退到 {{CSP("script-src")}} 指示符, 如果那个也还是没有那就回退到 {{CSP("default-src")}}。

+ + + +

细则

+ + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}}{{Spec2("CSP 3.0")}}Initial definition.
+ +

浏览器兼容问题

+ + + +

{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}}

+ +

其他的链接

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html b/files/zh-cn/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html new file mode 100644 index 0000000000..68eb2c5036 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html @@ -0,0 +1,84 @@ +--- +title: 'CSP: upgrade-insecure-requests' +slug: Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests +translation_of: Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests +--- +
{{HTTPSidebar}}
+ +

 

+ +

HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) upgrade-insecure-requests指令指示客户端将该站点的所有不安全URL(通过HTTP提供的URL)视为已被替换为安全URL(通过HTTPS提供的URL)。该指令适用于需要重写大量不安全的旧版URL的网站。

+ +

upgrade-insecure-requests指令在 {{CSP("block-all-mixed-content")}} 之前被执行,如果其被设置,后者实际上是空操作。可以设置其中一个,但不能同时设置。

+ +

The upgrade-insecure-requests directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate max-age to ensure that users are not subject to SSL stripping attacks.

+ +

Syntax

+ +
Content-Security-Policy: upgrade-insecure-requests;
+ +

Examples

+ +
// header
+Content-Security-Policy: upgrade-insecure-requests;
+
+// meta tag
+<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
+
+ +

一旦将上述头部设置在计划从HTTP迁移到HTTPS的example.com域名上, 非跳转(non-navigational)的不安全资源请求会自动升级到HTTPS(包括第当前域名以及第三方请求)。

+ +
<img src="http://example.com/image.png">
+<img src="http://not-example.com/image.png">
+ +

这些URL在请求发送之前都会被改写成HTTPS,也就意味着不安全的请求都不会发送出去。注意,如果请求的资源在HTTPS情况下不可用,则该请求将失败, 其也不能回退到HTTP。

+ +
<img src="https://example.com/image.png">
+<img src="https://not-example.com/image.png">
+ +

Navigational upgrades to third-party resources brings a significantly higher potential for breakage, these are not upgraded:

+ +
<a href="https://example.com/">Home</a>
+<a href="http://not-example.com/">Home</a>
+ +

Finding insecure requests

+ +

通过 {{HTTPHeader("Content-Security-Policy-Report-Only")}}  HTTP头部和 {{CSP("report-uri")}} 指令,您可以设置执行策略和报告策略,如下所示:

+ +
Content-Security-Policy: upgrade-insecure-requests; default-src https:
+Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint
+ +

That way, you still upgrade insecure requests on your secure site, but the only monitoring policy is violated and reports insecure resources to your endpoint.

+ +

Specifications

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("Upgrade Insecure Requests", "#delivery", "upgrade-insecure-requests")}}{{Spec2('Upgrade Insecure Requests')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.upgrade-insecure-requests")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-security-policy/worker-src/index.html b/files/zh-cn/web/http/headers/content-security-policy/worker-src/index.html new file mode 100644 index 0000000000..538dfea028 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-security-policy/worker-src/index.html @@ -0,0 +1,92 @@ +--- +title: 'CSP: worker-src' +slug: Web/HTTP/Headers/Content-Security-Policy/worker-src +translation_of: Web/HTTP/Headers/Content-Security-Policy/worker-src +--- +
{{HTTPSidebar}}
+ +

The HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) worker-src directive specifies valid sources for {{domxref("Worker")}}, {{domxref("SharedWorker")}}, or {{domxref("ServiceWorker")}} scripts.

+ + + + + + + + + + + + + + + + +
CSP version3
Directive type{{Glossary("Fetch directive")}}
Fallback +

If this directive is absent, the user agent will first look for the {{CSP("child-src")}} directive, then the {{CSP("script-src")}} directive, then finally for the {{CSP("default-src")}} directive, when governing worker execution.

+ +

Chrome 59 and higher skips the {{CSP("child-src")}} directive.

+ +

Edge 17 skips the {{CSP("script-src")}} directive (bug).

+
+ +

Syntax

+ +

One or more sources can be allowed for the worker-src policy:

+ +
Content-Security-Policy: worker-src <source>;
+Content-Security-Policy: worker-src <source> <source>;
+
+ +

Sources

+ +

{{page("Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}

+ +

Examples

+ +

Violation cases

+ +

Given this CSP header:

+ +
Content-Security-Policy: worker-src https://example.com/
+ +

{{domxref("Worker")}}, {{domxref("SharedWorker")}}, {{domxref("ServiceWorker")}} are blocked and won't load:

+ +
<script>
+  var blockedWorker = new Worker("data:application/javascript,...");
+  blockedWorker = new SharedWorker("https://not-example.com/");
+  navigator.serviceWorker.register('https://not-example.com/sw.js');
+</script>
+ +

Specifications

+ + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("CSP 3.0", "#directive-worker-src", "worker-src")}}{{Spec2('CSP 3.0')}}Initial definition.
+ +

Browser compatibility

+ + + +

{{Compat("http.headers.csp.Content-Security-Policy.worker-src")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/content-type/index.html b/files/zh-cn/web/http/headers/content-type/index.html new file mode 100644 index 0000000000..84a3407486 --- /dev/null +++ b/files/zh-cn/web/http/headers/content-type/index.html @@ -0,0 +1,118 @@ +--- +title: Content-Type +slug: Web/HTTP/Headers/Content-Type +tags: + - Content-Type + - HTTP + - POST + - application/x-www-form-urlencoded + - enctype= + - form + - multipart/form-data +translation_of: Web/HTTP/Headers/Content-Type +--- +
{{HTTPSidebar}}
+ +

Content-Type 实体头部用于指示资源的MIME类型 {{Glossary("MIME type","media type")}} 。

+ +

在响应中,Content-Type标头告诉客户端实际返回的内容的内容类型。浏览器会在某些情况下进行MIME查找,并不一定遵循此标题的值; 为了防止这种行为,可以将标题 {{HTTPHeader("X-Content-Type-Options")}} 设置为 nosniff

+ +

在请求中 (如{{HTTPMethod("POST")}} 或 {{HTTPMethod("PUT")}}),客户端告诉服务器实际发送的数据类型。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Entity header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

句法

+ +
Content-Type: text/html; charset=utf-8
+Content-Type: multipart/form-data; boundary=something
+
+ +

指令

+ +
+
media-type
+
资源或数据的 MIME type 。
+
charset
+
字符编码标准。
+
boundary
+
对于多部分实体,boundary 是必需的,其包括来自一组字符的1到70个字符,已知通过电子邮件网关是非常健壮的,而不是以空白结尾。它用于封装消息的多个部分的边界。
+
+ +

例子

+ +

Content-Type 在HTML表单中

+ +

在通过HTML form提交生成的{{HTTPMethod("POST")}}请求中,请求头的Content-Type由{{HTMLElement("form")}}元素上的enctype属性指定

+ +
<form action="/" method="post" enctype="multipart/form-data">
+  <input type="text" name="description" value="some text">
+  <input type="file" name="myFile">
+  <button type="submit">Submit</button>
+</form>
+
+ +

请求头看起来像这样(在这里省略了一些 headers):

+ +
POST /foo HTTP/1.1
+Content-Length: 68137
+Content-Type: multipart/form-data; boundary=---------------------------974767299852498929531610575
+
+---------------------------974767299852498929531610575
+Content-Disposition: form-data; name="description"
+
+some text
+---------------------------974767299852498929531610575
+Content-Disposition: form-data; name="myFile"; filename="foo.txt"
+Content-Type: text/plain
+
+(content of the uploaded file foo.txt)
+---------------------------974767299852498929531610575
+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7233", "Content-Type in multipart", "4.1")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
{{RFC("7231", "Content-Type", "3.1.1.5")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Content-Type")}}

+ +

也可以看看

+ + diff --git a/files/zh-cn/web/http/headers/cookie/index.html b/files/zh-cn/web/http/headers/cookie/index.html new file mode 100644 index 0000000000..a4aaff7f30 --- /dev/null +++ b/files/zh-cn/web/http/headers/cookie/index.html @@ -0,0 +1,72 @@ +--- +title: Cookie +slug: Web/HTTP/Headers/Cookie +tags: + - Cookies + - HTTP + - 请求 + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Cookie +--- +
{{HTTPSidebar}}
+ +

Cookie 是一个请求首部,其中含有先前由服务器通过 {{HTTPHeader("Set-Cookie")}}  首部投放并存储到客户端的 HTTP cookies

+ +

这个首部可能会被完全移除,例如在浏览器的隐私设置里面设置为禁用cookie。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Cookie: <cookie-list>
+Cookie: name=value
+Cookie: name=value; name2=value2; name3=value3
+ +
+
<cookie-list>
+
一系列的名称/值对,形式为 <cookie-name>=<cookie-value>。名称/值对之间用分号和空格 ('; ')隔开。
+
+ +

示例

+ +
Cookie: PHPSESSID=298zf09hf012fh2; csrftoken=u32t4o3tb3gg43; _gat=1;
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("6265", "Cookie", "5.4")}}HTTP State Management Mechanism
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Cookie")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/cookie2/index.html b/files/zh-cn/web/http/headers/cookie2/index.html new file mode 100644 index 0000000000..dcc3719d08 --- /dev/null +++ b/files/zh-cn/web/http/headers/cookie2/index.html @@ -0,0 +1,57 @@ +--- +title: Cookie2 +slug: Web/HTTP/Headers/Cookie2 +tags: + - 废弃 + - 请求首部 + - 首部 +translation_of: Web/HTTP/Headers/Cookie2 +--- +
{{HTTPSidebar}} {{obsolete_header}}
+ +

这个已经被废弃的 Cookie2 请求首部曾经被用来告知浏览器该用户代理支持“新型” cookies,但是现代的用户代理一般使用 {{HTTPHeader("Cookie")}} 来替代 Cookie2

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

示例

+ +
Cookie2: $Version="1"
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("2965", "Cookie2")}}Historic specification of HTTP State Management Mechanism, obsoleted by {{RFC("6265")}}
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Cookie2")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/cross-origin-embedder-policy/index.html b/files/zh-cn/web/http/headers/cross-origin-embedder-policy/index.html new file mode 100644 index 0000000000..680f81b341 --- /dev/null +++ b/files/zh-cn/web/http/headers/cross-origin-embedder-policy/index.html @@ -0,0 +1,89 @@ +--- +title: Cross-Origin-Embedder-Policy +slug: Web/HTTP/Headers/Cross-Origin-Embedder-Policy +translation_of: Web/HTTP/Headers/Cross-Origin-Embedder-Policy +--- +
{{HTTPSidebar}}
+ +

HTTP Cross-Origin-Embedder-Policy (COEP) 响应标头可防止文档加载未明确授予文档权限(通过 CORP或者 CORS)的任何跨域资源 。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Cross-Origin-Embedder-Policy: unsafe-none | require-corp
+
+ +

指令

+ +
+
unsafe-none
+
这是默认值. 允许文档获取跨源资源,而无需通过CORS协议或 {{HTTPHeader("Cross-Origin-Resource-Policy")}} 头。
+
require-corp
+
文档只能从相同的源加载资源,或显式标记为可从另一个源加载的资源。
+ 如果跨源资源支持CORS,则 crossorigin 属性或 {{HTTPHeader("Cross-Origin-Resource-Policy")}} 头必须使用它来加载资源,而不会被COEP阻止。
+
+ +

示例

+ +

某些功能取决于跨域隔离

+ +

为了节省时间你可以只接受类似于{{jsxref("SharedArrayBuffer")}} 或者 {{domxref("Performance.now()")}} 对象, 只要你的文档有一个值被设置为require-corp 的 COEP 头部.

+ +
Cross-Origin-Embedder-Policy: require-corp
+Cross-Origin-Opener-Policy: same-origin
+
+ +

你可以看看这个头部 {{HTTPHeader("Cross-Origin-Opener-Policy")}} ,这样你设置起来会做的更好。

+ +

检查 cross origin isolation 是否成功,你可以再次测试crossOriginIsolated 这个属性 是否对窗口和工作的上下文有效:

+ +
if (crossOriginIsolated) {
+  // Post SharedArrayBuffer
+} else {
+  // Do something else
+}
+ +

避免CORS阻塞COEP

+ +

If you enable COEP using require-corp and have a cross origin resource that needs to be loaded, it needs to support CORS and you need to explicitly mark the resource as loadable from another origin to avoid blockage from COEP. For example, you can use the crossorigin attribute for this image from a third-party site:

+ +
<img src="https://thirdparty.com/img.png" crossorigin>
+ +

规范说明

+ + + + + + + + + + + + +
Specification
{{SpecName('HTML WHATWG', '#coep', 'Cross-Origin-Embedder-Policy header')}}
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Cross-Origin-Embedder-Policy")}}

+ +

参阅

+ + diff --git a/files/zh-cn/web/http/headers/cross-origin-resource-policy/index.html b/files/zh-cn/web/http/headers/cross-origin-resource-policy/index.html new file mode 100644 index 0000000000..6cc94e842b --- /dev/null +++ b/files/zh-cn/web/http/headers/cross-origin-resource-policy/index.html @@ -0,0 +1,72 @@ +--- +title: Cross-Origin-Resource-Policy +slug: Web/HTTP/Headers/Cross-Origin-Resource-Policy +tags: + - HTTP + - HTTP Header + - Reference + - Response Header + - header +translation_of: Web/HTTP/Headers/Cross-Origin-Resource-Policy +--- +
{{HTTPSidebar}}
+ +
+

注意: 由于Chrome 浏览器中的一个Bug, 设置 Cross-Origin-Resource-Policy(跨域资源策略)会使文件下载失败:当从设置了CORP请求头的资源服务器下载资源时,浏览器会阻止用户使用“保存”或“另存为”按钮将文件保存到本地。在决定生产环境中是否使用这一特性(CORP)之前需要慎重考虑。

+
+ +

Cross-Origin-Resource-Policy 响应头会指示浏览器阻止对指定资源的无源跨域/跨站点请求。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Cross-Origin-Resource-Policy: same-site | same-origin
+
+ +

案例

+ +

下面的响应头会导致兼容该响应头的用户代理禁止跨域访问和跨域资源共享:

+ +
Cross-Origin-Resource-Policy: same-origin
+
+ +

详述

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName("Fetch", '#cross-origin-resource-policy-header')}}{{Spec2("Fetch", '#cross-origin-resource-policy-header')}}Initial definition
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.corb")}}

+ +

相关文章

+ + diff --git a/files/zh-cn/web/http/headers/date/index.html b/files/zh-cn/web/http/headers/date/index.html new file mode 100644 index 0000000000..7160a889e7 --- /dev/null +++ b/files/zh-cn/web/http/headers/date/index.html @@ -0,0 +1,86 @@ +--- +title: Date +slug: Web/HTTP/Headers/Date +tags: + - 日期 + - 格林尼治标准时间 + - 通用首部 + - 首部 +translation_of: Web/HTTP/Headers/Date +--- +
{{HTTPSidebar}}
+ +

Date 是一个通用首部,其中包含了报文创建的日期和时间。

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Date: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

指令

+ +
+
<day-name>
+
"Mon", "Tue", "Wed", "Thu", "Fri", "Sat", 或 "Sun" 之一 (区分大小写)。
+
<day>
+
2位数字表示天数,例如, "04" 或 "23"。
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 之一(区分大小写)。
+
<year>
+
4位数字表示年份,例如, "1990" 或 "2016"。
+
<hour>
+
2位数字表示小时数,例如, "09" 或 "23"。
+
<minute>
+
2位数字表示分钟数,例如, "04" 或 "59"。
+
<second>
+
2位数字表示秒数,例如, "04" 或 "59"。
+
GMT
+
+

格林尼治标准时间。 在HTTP协议中,时间都是用格林尼治标准时间来表示的,而不是本地时间。

+
+
+ +

示例

+ +
Date: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Date", "7.1.1.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Date")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/device-memory/index.html b/files/zh-cn/web/http/headers/device-memory/index.html new file mode 100644 index 0000000000..dbc49f5b0a --- /dev/null +++ b/files/zh-cn/web/http/headers/device-memory/index.html @@ -0,0 +1,78 @@ +--- +title: Device-Memory +slug: Web/HTTP/Headers/Device-Memory +translation_of: Web/HTTP/Headers/Device-Memory +--- +
{{HTTPSidebar}}{{securecontext_header}}{{SeeCompatTable}}
+ +

Device-Memory 是一个跟 Device Memory API 相关的请求头,它跟 Client Hints 请求头的作用相似,用来表示客户端设备内存的近似大小。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}?
+ +
+

Note: Client Hints are accessible only on secure origins (via TLS). Server has to opt in to receive Device-Memory header from the client by sending {{HTTPHeader("Accept-CH")}} and {{HTTPHeader("Accept-CH-Lifetime")}} response headers.

+
+ +

语法

+ +

设备的内存大小可能会被用作指纹变量,因此将这个取值设置的比较粗糙,以减少滥用它的可能性。 请求头采用以下值:0.25、0.5、1、2、4、8。

+ +
Device-Memory: <number>
+
+ +

示例

+ +

服务器需要先发送包含 Device-Memory 的 {{HTTPHeader("Accept-CH")}} 和 {{HTTPHeader("Accept-CH-Lifetime")}} 响应头,来表明可以接收 Device-Memory 请求头.

+ +
Accept-CH: Device-Memory
+Accept-CH-Lifetime: 86400
+
+ +

接下来客户端发送的请求则可能会包含 Device-Memory 请求头:

+ +
Device-Memory: 1
+
+ +

规范

+ + + + + + + + + + + + + + +
规范状态注释
{{SpecName("Device Memory","#sec-device-memory-client-hint-header","Device-Memory")}}{{Spec2('Device Memory')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Device-Memory")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/digest/index.html b/files/zh-cn/web/http/headers/digest/index.html new file mode 100644 index 0000000000..0511674d21 --- /dev/null +++ b/files/zh-cn/web/http/headers/digest/index.html @@ -0,0 +1,90 @@ +--- +title: Digest +slug: Web/HTTP/Headers/Digest +tags: + - HTTP + - HTTP Header +translation_of: Web/HTTP/Headers/Digest +--- +
{{HTTPSidebar}}
+ +

Digest 响应 HTTP 头提供了请求资源一个 {{Glossary("摘要")}} 。

+ +

在 RFC 7231 术语中,它是一个资源的选定表示。这个选定代表依赖于 Content-Type 和 Content-Encoding 头部值:所以一个单一的资源可能有多个不同的摘要值。

+ +

摘要是整个表示的计算。这个表示可以是:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Digest: <digest-algorithm>=<digest-value>
+
+Digest: <digest-algorithm>=<digest-value>,<digest-algorithm>=<digest-value>
+
+ +

指令

+ +
+
<digest-algorithm>
+
已支持的摘要算法在 RFC 3230 和 RFC 5843,中定义,包括 SHA-256 和 SHA-512。一些支持的算法(如 unixsum 和 MD5) 容易发生冲突,因此不适合冲突阻力很重要的应用。
+
<digest-value>
+
对资源表示的摘要算法的结果和编码的结果。摘要算法的选择决定了编码类型:例如 SHA-256 用 base64 编码。
+
+ +

示例

+ +
Digest: sha-256=X48E9qOokqqrvdts8nOJRJN3OWDUoyWxBf7kbu9DBPE=
+Digest: sha-256=X48E9qOokqqrvdts8nOJRJN3OWDUoyWxBf7kbu9DBPE=,unixsum=30637
+ +

规范

+ + + + + + + + + + + + + + +
规范标题
+

draft-ietf-httpbis-digest-headers-latest

+
Resource Digests for HTTP
+ +

该头最初在 RFC 3230 中定义,但在 RFC 7231 里的 "选中的表示" 定义使原始定与当前 HTTP 规范中不一致。发布时,"HTTP 资源摘要" 草案将废弃 RFC 3230 并将更新标准以保持一致。

+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Digest")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/dnt/index.html b/files/zh-cn/web/http/headers/dnt/index.html new file mode 100644 index 0000000000..7c639c766f --- /dev/null +++ b/files/zh-cn/web/http/headers/dnt/index.html @@ -0,0 +1,88 @@ +--- +title: DNT +slug: Web/HTTP/Headers/DNT +tags: + - 不追踪 + - 定制化内容 + - 请求首部 + - 隐私 +translation_of: Web/HTTP/Headers/DNT +--- +
{{HTTPSidebar}}
+ +

请求首部 DNT (Do Not Track) 表明了用户对于网站追踪的偏好。它允许用户指定自己是否更注重个人隐私还是定制化内容。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
DNT: 0
+DNT: 1
+
+ +

指令

+ +
+
0
+
表示用户愿意目标站点追踪用户个人信息。
+
1
+
表示用户不愿意目标站点追踪用户个人信息。
+
+ +

示例

+ +

使用 JavaScript 读取 “不追踪” (Do Not Track)状态

+ +

用户对 DNT 的设置还可以使用 {{domxref("Navigator.doNotTrack")}} 属性进行读取:

+ +
navigator.doNotTrack; // "0" or "1"
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Tracking','#dnt-header-field', 'DNT Header Field for HTTP Requests')}}{{Spec2("Tracking")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.DNT")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/dpr/index.html b/files/zh-cn/web/http/headers/dpr/index.html new file mode 100644 index 0000000000..f725023128 --- /dev/null +++ b/files/zh-cn/web/http/headers/dpr/index.html @@ -0,0 +1,57 @@ +--- +title: DPR +slug: Web/HTTP/Headers/DPR +translation_of: Web/HTTP/Headers/DPR +--- +
{{HTTPSidebar}}{{securecontext_header}}{{SeeCompatTable}}
+ +

DPR请求头是“ 客户端提示”消息头,它代表客户端设备的像素比({{Glossary("DPR")}}),该比例是与每个CSS像素相对应的物理设备像素的数量。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}?
+ +
+

Note: Client Hints are accessible only on secure origins (via TLS). Server has to opt in to receive DPR header from the client by sending {{HTTPHeader("Accept-CH")}} and {{HTTPHeader("Accept-CH-Lifetime")}} response headers.

+
+ +

语法

+ +
DPR: <number>
+
+ +

示例

+ +

Server first needs to opt in to receive DPR header by sending the response headers {{HTTPHeader("Accept-CH")}} containing DPR and {{HTTPHeader("Accept-CH-Lifetime")}}.

+ +
Accept-CH: DPR
+Accept-CH-Lifetime: 86400
+
+ +

Then on subsequent requests the client might send DPR header back:

+ +
DPR: 1.0
+
+ +

浏览器兼容

+ + + +

{{Compat("http.headers.DPR")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/early-data/index.html b/files/zh-cn/web/http/headers/early-data/index.html new file mode 100644 index 0000000000..f1c208279a --- /dev/null +++ b/files/zh-cn/web/http/headers/early-data/index.html @@ -0,0 +1,55 @@ +--- +title: Early-Data +slug: Web/HTTP/Headers/Early-Data +translation_of: Web/HTTP/Headers/Early-Data +--- +
{{SeeCompatTable}}{{HTTPSidebar}}
+ +

Early-Data 头(header)由某个中间者设置来表示请求已在TLS early data 中传送 ,且表示 某个中间者理解 {{HTTPStatus("425", "425 (Too Early)")}} 状态码。Early-Data 头(header)不由请求的发起者设置 (例如,浏览器)。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Early-Data: 1
+
+ +

示例

+ +
GET /resource HTTP/1.0
+Host: example.com
+Early-Data: 1
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("8470", "The Early-Data Header Field", "5.1")}}Using Early Data in HTTP
+ +

浏览器兼容

+ + + +

{{Compat("http.headers.Early-Data")}}

diff --git a/files/zh-cn/web/http/headers/etag/index.html b/files/zh-cn/web/http/headers/etag/index.html new file mode 100644 index 0000000000..fd25ad6578 --- /dev/null +++ b/files/zh-cn/web/http/headers/etag/index.html @@ -0,0 +1,103 @@ +--- +title: ETag +slug: Web/HTTP/Headers/ETag +tags: + - HTTP + - header +translation_of: Web/HTTP/Headers/ETag +--- +
{{HTTPSidebar}}
+ +
 
+ +

ETagHTTP响应头是资源的特定版本的标识符。这可以让缓存更高效,并节省带宽,因为如果内容没有改变,Web服务器不需要发送完整的响应。而如果内容发生了变化,使用ETag有助于防止资源的同时更新相互覆盖(“空中碰撞”)。

+ +

如果给定URL中的资源更改,则一定要生成新的Etag值。 因此Etags类似于指纹,也可能被某些服务器用于跟踪。 比较etags能快速确定此资源是否变化,但也可能被跟踪服务器永久存留。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
ETag: W/"<etag_value>"
+ETag: "<etag_value>"
+
+ +

指令

+ +
+
W/ {{optional_inline}}
+
'W/'(大小写敏感) 表示使用弱验证器。 弱验证器很容易生成,但不利于比较。 强验证器是比较的理想选择,但很难有效地生成。 相同资源的两个弱Etag值可能语义等同,但不是每个字节都相同。
+
"<etag_value>"
+
实体标签唯一地表示所请求的资源。 它们是位于双引号之间的ASCII字符串(如“675af34563dc-tr34”)。 没有明确指定生成ETag值的方法。 通常,使用内容的散列,最后修改时间戳的哈希值,或简单地使用版本号。 例如,MDN使用wiki内容的十六进制数字的哈希值。
+
+ +

示例

+ +
ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4"
+ETag: W/"0815"
+ +

避免“空中碰撞”

+ +

ETag和 {{HTTPHeader("If-Match")}} 头部的帮助下,您可以检测到"空中碰撞"的编辑冲突。

+ +

例如,当编辑MDN时,当前的wiki内容被散列,并在响应中放入Etag

+ +
ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4
+ +

将更改保存到Wiki页面(发布数据)时,{{HTTPMethod("POST")}}请求将包含有ETag值的{{HTTPHeader("If-Match")}}头来检查是否为最新版本。

+ +
If-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"
+ +

如果哈希值不匹配,则意味着文档已经被编辑,抛出{{HTTPStatus("412")}}前提条件失败错误。

+ +

缓存未更改的资源

+ +

ETag头的另一个典型用例是缓存未更改的资源。 如果用户再次访问给定的URL(设有ETag字段),显示资源过期了且不可用,客户端就发送值为ETag的{{HTTPHeader("If-None-Match")}} header字段:

+ +
If-None-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"
+ +

服务器将客户端的ETag(作为If-None-Match字段的值一起发送)与其当前版本的资源的ETag进行比较,如果两个值匹配(即资源未更改),服务器将返回不带任何内容的{{HTTPStatus("304")}}未修改状态,告诉客户端缓存版本可用(新鲜)。

+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7232", "ETag", "2.3")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.ETag")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/expect-ct/index.html b/files/zh-cn/web/http/headers/expect-ct/index.html new file mode 100644 index 0000000000..c92ca54e05 --- /dev/null +++ b/files/zh-cn/web/http/headers/expect-ct/index.html @@ -0,0 +1,82 @@ +--- +title: Expect-CT +slug: Web/HTTP/Headers/Expect-CT +tags: + - HTTP + - 响应头 + - 证书透明度 +translation_of: Web/HTTP/Headers/Expect-CT +--- +

{{HTTPSidebar}}

+ +

Expect-CT 头允许站点选择性报告和/或执行证书透明度 (Certificate Transparency) 要求,来防止错误签发的网站证书的使用不被察觉。当站点启用 Expect-CT 头,就是在请求浏览器检查该网站的任何证书是否出现在公共证书透明度日志之中。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Expect-CT: report-uri="<uri>";
+           enforce;
+           max-age=<age>
+ +

指令

+ +
+
max-age
+
+

该指令指定接收到 Expect-CT 头后的秒数,在此期间用户代理应将收到消息的主机视为已知的 Expect-CT 主机。

+ +

如果缓存接收到的值大于它可以表示的值,或者如果其随后计算溢出,则缓存将认为该值为2147483648(2的31次幂)或其可以方便表示的最大正整数。

+
+
report-uri="<uri>" {{optional_inline}}
+
+

该指令指定用户代理应向其报告 Expect-CT 失效的 URI。

+ 当 enforce 指令和 report-uri 指令共同存在时,这种配置被称为“强制执行和报告”配置,示意用户代理既应该强制遵守证书透明度政策,也应当报告违规行为。 + +

 

+
+
enforce {{optional_inline}}
+
+

该指令示意用户代理应强制遵守证书透明度政策(而不是只报告合规性),并且用户代理应拒绝违反证书透明度政策的之后连接。

+ +

当  enforce 指令和  report-uri 指令共同存在时,这种配置被称为“强制执行和报告”配置,示意用户代理既应该强制遵守证书透明度政策,也应当报告违规行为。

+
+
+ +

示例

+ +

以下示例指定24小时的证书透明度执行,并向 foo.example 报告违规行为.

+ +
Expect-CT: max-age=86400; enforce; report-uri="https://foo.example/report"
+ +

规范

+ + + + + + + + + + + + +
规范标题
Internet DraftExpect-CT Extension for HTTP
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Expect-CT")}}

diff --git a/files/zh-cn/web/http/headers/expect/index.html b/files/zh-cn/web/http/headers/expect/index.html new file mode 100644 index 0000000000..afc4da4bce --- /dev/null +++ b/files/zh-cn/web/http/headers/expect/index.html @@ -0,0 +1,87 @@ +--- +title: Expect +slug: Web/HTTP/Headers/Expect +translation_of: Web/HTTP/Headers/Expect +--- +
{{HTTPSidebar}}
+ +

Expect 是一个请求消息头,包含一个期望条件,表示服务器只有在满足此期望条件的情况下才能妥善地处理请求。

+ +

规范中只规定了一个期望条件,即 Expect: 100-continue, 对此服务器可以做出如下回应:

+ + + +

例如,如果请求中 {{HTTPHeader("Content-Length")}} 的值太大的话,可能会遭到服务器的拒绝。

+ +

常见的浏览器不会发送 Expect 消息头,但是其他类型的客户端如cURL默认会这么做。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +

目前规范中只规定了 "100-continue" 这一个期望条件。

+ +
Expect: 100-continue
+
+ +

指令

+ +
+
100-continue
+
通知接收方客户端要发送一个体积可能很大的消息体,期望收到状态码为{{HTTPStatus("100")}} (Continue)  的临时回复。
+
+ +

示例

+ +

大消息体

+ +

客户端发送带有Expect消息头的请求,等服务器回复后再发送消息体。

+ +
PUT /somewhere/fun HTTP/1.1
+Host: origin.example.com
+Content-Type: video/h264
+Content-Length: 1234567890987
+Expect: 100-continue
+
+ +

服务器开始检查请求消息头,可能会返回一个状态码为 {{HTTPStatus("100")}} (Continue) 的回复来告知客户端继续发送消息体,也可能会返回一个状态码为{{HTTPStatus("417")}} (Expectation Failed) 的回复来告知对方要求不能得到满足。

+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Expect", "5.1.1")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容情况

+ +

目前没有已知的浏览器会使用这个消息头。

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/expires/index.html b/files/zh-cn/web/http/headers/expires/index.html new file mode 100644 index 0000000000..0f64838744 --- /dev/null +++ b/files/zh-cn/web/http/headers/expires/index.html @@ -0,0 +1,79 @@ +--- +title: Expires +slug: Web/HTTP/Headers/Expires +tags: + - 缓存,头部,HTTP,响应,response +translation_of: Web/HTTP/Headers/Expires +--- +
{{HTTPSidebar}}
+ +
Expires 响应头包含日期/时间, 即在此时候之后,响应过期。
+ +
 
+ +

无效的日期,比如 0, 代表着过去的日期,即该资源已经过期。

+ +

如果在{{HTTPHeader("Cache-Control")}}响应头设置了 "max-age" 或者 "s-max-age" 指令,那么 Expires 头会被忽略。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

语法

+ +
Expires: <http-date>
+
+ +

指南

+ +
+
<http-date>
+
+

一个 HTTP-日期 时间戳

+
+
+ +

示例

+ +
Expires: Wed, 21 Oct 2015 07:28:00 GMT
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7234", "Expires", "5.3")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Expires")}}

+ +

其他

+ + diff --git a/files/zh-cn/web/http/headers/feature-policy/autoplay/index.html b/files/zh-cn/web/http/headers/feature-policy/autoplay/index.html new file mode 100644 index 0000000000..88dc07c786 --- /dev/null +++ b/files/zh-cn/web/http/headers/feature-policy/autoplay/index.html @@ -0,0 +1,52 @@ +--- +title: 'Feature-Policy: autoplay' +slug: Web/HTTP/Headers/Feature-Policy/autoplay +translation_of: Web/HTTP/Headers/Feature-Policy/autoplay +--- +
{{HTTPSidebar}} {{SeeCompatTable}}
+ +

The HTTP {{HTTPHeader("Feature-Policy")}} header autoplay directive controls whether the current document is allowed to autoplay media requested through the {{domxref("HTMLMediaElement")}} interface. When this policy is enabled and there were no user gestures, the {{domxref("Promise")}} returned by {{domxref("HTMLMediaElement.play()")}} will reject with a DOMException. The {{htmlattrxref("autoplay", "audio")}} attribute on {{HTMLElement("audio")}} and {{HTMLElement("video")}} elements will be ignored.

+ +

For more details on autoplay and autoplay blocking, see the article Autoplay guide for media and Web Audio APIs.

+ +

语法

+ +
Feature-Policy: autoplay <可选>;
+ +
+
<allowlist>
+
{{page("Web/HTTP/Feature_Policy/Using_Feature_Policy", "allowlist")}} 默认值是'self'.
+
+ +

参考说明

+ + + + + + + + + + + + + + + + +
参考说明状态注解
{{SpecName('Feature Policy')}}{{Spec2('Feature Policy')}}Initial definition.
+ +

浏览器兼容性支持

+ + + +

{{Compat("http.headers.Feature-Policy.autoplay")}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/feature-policy/camera/index.html b/files/zh-cn/web/http/headers/feature-policy/camera/index.html new file mode 100644 index 0000000000..b2c71e2f36 --- /dev/null +++ b/files/zh-cn/web/http/headers/feature-policy/camera/index.html @@ -0,0 +1,54 @@ +--- +title: 'Feature-Policy: camera' +slug: Web/HTTP/Headers/Feature-Policy/camera +translation_of: Web/HTTP/Headers/Feature-Policy/camera +--- +
{{HTTPSidebar}}
+ +

HTTP{{HTTPHeader("Feature-Policy")}} 头当中的camera指令控制着当前的文档是否允许使用视频输入设备。当这些策略被开启时,由{{domxref("MediaDevices.getUserMedia()")}} 返回的{{jsxref("Promise")}}将会reject一个 {{domxref("NotAllowedError")}}错误。

+ +

语法结构

+ +
Feature-Policy: camera <allowlist>;
+ +
+
<allowlist>
+
{{page("Web/HTTP/Feature_Policy/Using_Feature_Policy", "allowlist")}}
+
+ +

默认策略

+ +

默认值为 'self'。

+ +

定义

+ + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Feature Policy')}}{{Spec2('Feature Policy')}}最初的定义。
+ +

浏览器兼容性

+ + + +

{{Compat('http.headers.Feature-Policy.camera')}}

+ +

See also

+ + diff --git a/files/zh-cn/web/http/headers/feature-policy/index.html b/files/zh-cn/web/http/headers/feature-policy/index.html new file mode 100644 index 0000000000..ee0321900a --- /dev/null +++ b/files/zh-cn/web/http/headers/feature-policy/index.html @@ -0,0 +1,123 @@ +--- +title: Feature-Policy +slug: Web/HTTP/Headers/Feature-Policy +translation_of: Web/HTTP/Headers/Feature-Policy +--- +
{{HTTPSidebar}} {{SeeCompatTable}}
+ +
 
+ +
Feature-Policy响应头提供了一种可以在本页面或包含的iframe上启用或禁止浏览器特性的机制。
+ +

更多的信息,请查看Feature Policy

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Feature-Policy: <directive> <allowlist>
+ +

<allowlist>

+ + + + + +

*(在所有源地址启用)'none'(在所有源地址禁用)只允许单独使用,而'self''src'可以与多个源地址一起使用。

+ +

所有的特性都有一个如下的默认的allowlist

+ + + +

指令

+ +
+
{{httpheader('Feature-Policy/autoplay','autoplay')}}
+
控制是否允许当前文档自动播放媒体。这种控制是通过接口 {{domxref("HTMLMediaElement")}} 来实现。当这种规则被启用,而且没有用户操作的时候,{{domxref("HTMLMediaElement.play()")}}返回的 {{domxref("Promise")}}会拒绝并抛出一个DOMException异常。在{{HTMLELement("audio")}}和{{HTMLELement("video")}}上的autoplay属性会被忽略。
+
{{httpheader('Feature-Policy/camera', 'camera')}}
+
控制是否允许当前文档使用视频输入设备。当这种规则被启用时,{{domxref("MediaDevices.getUserMedia()")}}返回的the {{jsxref("Promise")}}会拒绝并抛出错误NotAllowedError。
+
{{httpheader('Feature-Policy/document-domain','document-domain')}}
+
控制是否允许当前文档设置{{domxref("document.domain")}}。当这种规则被启用时,尝试设置{{domxref("document.domain")}}会失败并抛出SecurityError {{domxref("DOMException")}}异常。
+
{{httpheader('Feature-Policy/encrypted-media', 'encrypted-media')}}
+
控制是否允许当前文档使用Encrypted Media Extensions API (EME)。当这种规则被启用时,{{domxref("Navigator.requestMediaKeySystemAccess()")}}返回的{{domxref("Promise")}}会拒绝并抛出DOMException异常。
+
{{httpheader('Feature-Policy/fullscreen','fullscreen')}}
+
控制是否允许当前文档使用{{domxref('Element.requestFullScreen()')}}。当这种规则被启用时,返回的{{jsxref('Promise')}}会拒绝并抛出{{jsxref('TypeError')}}。
+
{{httpheader('Feature-Policy/geolocation','geolocation')}}
+
控制是否允许当前文档使用{{domxref('Geolocation')}}接口。当这种规则被启用时,调用{{domxref('Geolocation.getCurrentPosition','getCurrentPosition()')}}和{{domxref('Geolocation.watchPosition','watchPosition()')}}会返回包含PERMISSION_DENIED的 {{domxref('PositionError')}}。
+
{{httpheader('Feature-Policy/microphone','microphone')}}
+
控制是否允许当前文档使用音频输入设备。当这种规则被启用时,{{domxref("MediaDevices.getUserMedia()")}}返回的the {{jsxref("Promise")}}会拒绝并抛出错误NotAllowedError。
+
{{httpheader('Feature-Policy/midi', 'midi')}}
+
控制是否允许当前文档使用Web MIDI API。当这种规则被启用时,{{domxref("Navigator.requestMIDIAccess()")}} 返回的the {{jsxref("Promise")}}会拒绝并抛出错误DOMException。
+
{{httpheader('Feature-Policy/payment', 'payment')}}
+
控制是否允许当前文档使用Payment Request API。当这种规则被启用时,构造器{{domxref("PaymentRequest()")}} 会抛出错误SecurityError。
+
{{httpheader('Feature-Policy/vr', 'vr')}} / xr
+
控制是否允许当前文档使用WebVR API。当这种规则被启用时,{{domxref("Navigator.getVRDisplays()")}} 返回的the {{jsxref("Promise")}}会拒绝并抛出错误DOMException。
+
+ +

示例

+ +

SecureCorp Inc. 公司想要在应用中禁用震动和定位API,则可以在返回的response中传递以下定义feature policy的HTTP的头部信息:

+ +
Feature-Policy: vibrate 'none'; geolocation 'none'
+
+ +

通过使用'none'关键词,不管原来如何设定,这些特性在所有浏览的上下文中都会被禁用。

+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Feature Policy','#feature-policy-http-header-field','Feature-Policy')}}{{Spec2('Feature Policy')}}Initial definition.
+ +

浏览器兼容

+ + + +

{{Compat("http.headers.Feature-Policy")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/forwarded/index.html b/files/zh-cn/web/http/headers/forwarded/index.html new file mode 100644 index 0000000000..4c5101ad8f --- /dev/null +++ b/files/zh-cn/web/http/headers/forwarded/index.html @@ -0,0 +1,110 @@ +--- +title: Forwarded +slug: Web/HTTP/Headers/Forwarded +tags: + - HTTP + - HTTP头部 + - 参考 + - 头部 + - 请求头部 +translation_of: Web/HTTP/Headers/Forwarded +--- +
{{HTTPSidebar}}
+ +

Forwarded 首部中包含了代理服务器的客户端的信息,即由于代理服务器在请求路径中的介入而被修改或丢失的信息。

+ +

其他可用来替换的,已经成为既成标准的首部是 {{HTTPHeader("X-Forwarded-For")}} 、 {{HTTPHeader("X-Forwarded-Host")}} 以及{{HTTPHeader("X-Forwarded-Proto")}} 。

+ +

这个消息首部会被用来进行调试和统计,以及生成基于位置的定制化内容,按照设计的目的,它会暴露一定的隐私和敏感信息,比如客户端的IP地址。所以在应用此消息首部的时候,需要将用户的隐私问题考虑在内。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Forwarded: by=<identifier>; for=<identifier>; host=<host>; proto=<http|https>
+
+ +

指令

+ +
+
<identifier>
+
一个 identifier 显示了在使用代理的过程中被修改或者丢失的信息。它们可以是以下几种形式: +
    +
  • 一个IP地址(V4 或 V6,端口号可选,ipv6 地址需要包含在方括号里面,同时用引号括起来),
  • +
  • 语意不明的标识符(比如 "_hidden" 或者 "_secret"),
  • +
  • 或者是 "unknown",当当前信息实体不可知的时候(但是你依然想要说明请求被进行了转发)。
  • +
+
+
by=<identifier>
+
该请求进入到代理服务器的接口。
+
for=<identifier>
+
发起请求的客户端以及代理链中的一系列的代理服务器。
+
host=<host>
+
代理接收到的 {{HTTPHeader("Host")}}  首部的信息。
+
proto=<http|https>
+
+

表示发起请求时采用的何种协议(通常是 "http" 或者 "https")。

+
+
+ +

示例

+ +

使用 Forwarded 

+ +
Forwarded: for="_mdn"
+
+# 大小写不敏感
+Forwarded: For="[2001:db8:cafe::17]:4711"
+
+# for proto by 之间可用分号分隔
+Forwarded: for=192.0.2.60; proto=http; by=203.0.113.43
+
+# 多值可用逗号分隔
+Forwarded: for=192.0.2.43, for=198.51.100.17
+
+ +

从 X-Forwarded-For 到 Forwarded 的迁移

+ +

如果应用、服务器或是代理支持标准格式的 Forwarded 的首部的话,那么  {{HTTPHeader("X-Forwarded-For")}} 可以被替换。需要注意的是,在 Forwarded 中 ipv6 地址需要包含在方括号里面,同时用引号括起来。

+ +
X-Forwarded-For: 123.34.567.89
+Forwarded: for=123.34.567.89
+
+X-Forwarded-For: 192.0.2.43, 2001:db8:cafe::17
+Forwarded: for=192.0.2.43, for="[2001:db8:cafe::17]"
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7239", "Forwarded", "4")}}Forwarded HTTP Extension
+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/from/index.html b/files/zh-cn/web/http/headers/from/index.html new file mode 100644 index 0000000000..ee077d7e1e --- /dev/null +++ b/files/zh-cn/web/http/headers/from/index.html @@ -0,0 +1,73 @@ +--- +title: From +slug: Web/HTTP/Headers/From +tags: + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/From +--- +
{{HTTPSidebar}}
+ +

请求首部 From 中包含一个电子邮箱地址,这个电子邮箱地址属于发送请求的用户代理的实际掌控者的人类用户。

+ +

如果你在运行一个机器人代理程序(比如爬虫),那么 Form 首部应该随请求一起发送,这样的话,在服务器遇到问题的时候,例如机器人代理发送了过量的、不希望收到的或者不合法的请求,站点管理员可以联系到你。

+ +
+

不可以将 From 首部用于访问控制或者身份验证。

+
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
From: <email>
+
+ +

指令

+ +
+
<email>
+
一个机器可识别的电子邮箱地址。
+
+ +

示例

+ +
From: webmaster@example.org
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "From", "5.5.1")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.From")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/host/index.html b/files/zh-cn/web/http/headers/host/index.html new file mode 100644 index 0000000000..a7264922d4 --- /dev/null +++ b/files/zh-cn/web/http/headers/host/index.html @@ -0,0 +1,71 @@ +--- +title: Host +slug: Web/HTTP/Headers/Host +tags: + - header http 参考 host +translation_of: Web/HTTP/Headers/Host +--- +
{{HTTPSidebar}}
+ +

Host 请求头指明了请求将要发送到的服务器主机名和端口号。

+ +

如果没有包含端口号,会自动使用被请求服务的默认端口(比如HTTPS URL使用443端口,HTTP URL使用80端口)。

+ +

所有HTTP/1.1 请求报文中必须包含一个Host头字段。对于缺少Host头或者含有超过一个Host头的HTTP/1.1 请求,可能会收到{{HTTPStatus("400")}}(Bad Request)状态码。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Host: <host>:<port>
+
+ +

指令

+ +
+
<host>
+
服务器的域名(用于虚拟主机)。
+
<port> {{optional_inline}}
+
服务器监听的 TCP 端口号。
+
+ +

示例

+ +
Host: developer.cdn.mozilla.net
+ +

规范

+ + + + + + + + + + + + +
规范标题
{{RFC("7230", "Host", "5.4")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

浏览器兼容性

+ +

{{Compat("http.headers.Host")}}

+ +

参考

+ + diff --git a/files/zh-cn/web/http/headers/if-match/index.html b/files/zh-cn/web/http/headers/if-match/index.html new file mode 100644 index 0000000000..9443a30e14 --- /dev/null +++ b/files/zh-cn/web/http/headers/if-match/index.html @@ -0,0 +1,89 @@ +--- +title: If-Match +slug: Web/HTTP/Headers/If-Match +tags: + - 条件请求 + - 首部 +translation_of: Web/HTTP/Headers/If-Match +--- +
{{HTTPSidebar}}
+ +

请求首部 If-Match 的使用表示这是一个条件请求。在请求方法为 {{HTTPMethod("GET")}} 和 {{HTTPMethod("HEAD")}} 的情况下,服务器仅在请求的资源满足此首部列出的 ETag值时才会返回资源。而对于 {{HTTPMethod("PUT")}} 或其他非安全方法来说,只有在满足条件的情况下才可以将资源上传。

+ +

{{HTTPHeader("ETag")}} 之间的比较使用的是强比较算法,即只有在每一个字节都相同的情况下,才可以认为两个文件是相同的。在 ETag 前面添加    W/ 前缀表示可以采用相对宽松的算法。

+ +

以下是两个常见的应用场景:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
If-Match: <etag_value>
+If-Match: <etag_value>, <etag_value>, …
+
+ +

指令

+ +
+
<etag_value>
+
唯一地表示一份资源的实体标签。标签是由 ASCII 字符组成的字符串,用双引号括起来(如 "675af34563dc-tr34")。前面可以加上 W/ 前缀表示应该采用弱比较算法。
+
*
+
星号是一个特殊值,可以指代任意资源。
+
+ +

示例

+ +
If-Match: "bfc13a64729c4290ef5b2c2730249c88ca92d82d"
+
+If-Match: W/"67ab43", "54ed21", "7892dd"
+
+If-Match: *
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7232", "If-Match", "3.1")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.If-Match")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/if-modified-since/index.html b/files/zh-cn/web/http/headers/if-modified-since/index.html new file mode 100644 index 0000000000..dd7e213358 --- /dev/null +++ b/files/zh-cn/web/http/headers/if-modified-since/index.html @@ -0,0 +1,92 @@ +--- +title: If-Modified-Since +slug: Web/HTTP/Headers/If-Modified-Since +tags: + - 条件请求 + - 请求头 +translation_of: Web/HTTP/Headers/If-Modified-Since +--- +
{{HTTPSidebar}}
+ +

If-Modified-Since 是一个条件式请求首部,服务器只在所请求的资源在给定的日期时间之后对内容进行过修改的情况下才会将资源返回,状态码为 {{HTTPStatus("200")}}  。如果请求的资源从那时起未经修改,那么返回一个不带有消息主体的  {{HTTPStatus("304")}}  响应,而在 {{HTTPHeader("Last-Modified")}} 首部中会带有上次修改时间。 不同于  {{HTTPHeader("If-Unmodified-Since")}}, If-Modified-Since 只可以用在 {{HTTPMethod("GET")}} 或 {{HTTPMethod("HEAD")}} 请求中。

+ +

当与 {{HTTPHeader("If-None-Match")}} 一同出现时,它(If-Modified-Since)会被忽略掉,除非服务器不支持 If-None-Match

+ +

最常见的应用场景是来更新没有特定 {{HTTPHeader("ETag")}} 标签的缓存实体。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
If-Modified-Since: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

指令

+ +
+
<day-name>
+
 "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" 或 "Sun" 之一 (区分大小写)。
+
<day>
+
两位数字表示的天数, 例如"04" or "23"。
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 之一(区分大小写)。
+
<year>
+
4位数字表示的年份, 例如 "1990" 或者"2016"。
+
<hour>
+
两位数字表示的小时数, 例如 "09" 或者 "23"。
+
<minute>
+
两位数字表示的分钟数,例如"04" 或者 "59"。
+
<second>
+
两位数字表示的秒数,例如 "04" 或者 "59"。
+
GMT
+
+

国际标准时间。HTTP中的时间均用国际标准时间表示,从来不使用当地时间。

+
+
+ +

示例

+ +
If-Modified-Since: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7232", "If-Modified-Since", "3.3")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.If-Modified-Since")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/if-none-match/index.html b/files/zh-cn/web/http/headers/if-none-match/index.html new file mode 100644 index 0000000000..d12d097096 --- /dev/null +++ b/files/zh-cn/web/http/headers/if-none-match/index.html @@ -0,0 +1,93 @@ +--- +title: If-None-Match +slug: Web/HTTP/Headers/If-None-Match +tags: + - 弱比较算法 + - 条件请求 +translation_of: Web/HTTP/Headers/If-None-Match +--- +
{{HTTPSidebar}}
+ +

If-None-Match 是一个条件式请求首部。对于 GET{{HTTPMethod("GET")}} 和 {{HTTPMethod("HEAD")}} 请求方法来说,当且仅当服务器上没有任何资源的 {{HTTPHeader("ETag")}} 属性值与这个首部中列出的相匹配的时候,服务器端会才返回所请求的资源,响应码为  {{HTTPStatus("200")}}  。对于其他方法来说,当且仅当最终确认没有已存在的资源的  {{HTTPHeader("ETag")}} 属性值与这个首部中所列出的相匹配的时候,才会对请求进行相应的处理。

+ +

对于  {{HTTPMethod("GET")}} 和 {{HTTPMethod("HEAD")}} 方法来说,当验证失败的时候,服务器端必须返回响应码 304 (Not Modified,未改变)。对于能够引发服务器状态改变的方法,则返回 412 (Precondition Failed,前置条件失败)。需要注意的是,服务器端在生成状态码为 304 的响应的时候,必须同时生成以下会存在于对应的 200 响应中的首部:Cache-Control、Content-Location、Date、ETag、Expires 和 Vary 。

+ +

{{HTTPHeader("ETag")}} 属性之间的比较采用的是弱比较算法,即两个文件除了每个比特都相同外,内容一致也可以认为是相同的。例如,如果两个页面仅仅在页脚的生成时间有所不同,就可以认为二者是相同的。

+ +

当与  {{HTTPHeader("If-Modified-Since")}}  一同使用的时候,If-None-Match 优先级更高(假如服务器支持的话)。

+ +

以下是两个常见的应用场景:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
If-None-Match: <etag_value>
+If-None-Match: <etag_value>, <etag_value>, …
+If-None-Match: *
+ +

指令

+ +
+
<etag_value>
+
唯一地表示所请求资源的实体标签。形式是采用双引号括起来的由 ASCII 字符串(如"675af34563dc-tr34"),有可能包含一个 W/ 前缀,来提示应该采用弱比较算法(这个是画蛇添足,因为 If-None-Match 用且仅用这一算法)。
+
*
+
星号是一个特殊值,可以代表任意资源。它只用在进行资源上传时,通常是采用 {{HTTPMethod("PUT")}} 方法,来检测拥有相同识别ID的资源是否已经上传过了。
+
+ +

示例

+ +
If-None-Match: "bfc13a64729c4290ef5b2c2730249c88ca92d82d"
+
+If-None-Match: W/"67ab43", "54ed21", "7892dd"
+
+If-None-Match: *
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7232", "If-None-Match", "3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.If-None-Match")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/if-range/index.html b/files/zh-cn/web/http/headers/if-range/index.html new file mode 100644 index 0000000000..e272b819fb --- /dev/null +++ b/files/zh-cn/web/http/headers/if-range/index.html @@ -0,0 +1,99 @@ +--- +title: If-Range +slug: Web/HTTP/Headers/If-Range +translation_of: Web/HTTP/Headers/If-Range +--- +
{{HTTPSidebar}}
+ +

If-Range HTTP 请求头字段用来使得 Range 头字段在一定条件下起作用:当字段值中的条件得到满足时,Range 头字段才会起作用,同时服务器回复{{HTTPStatus("206")}} 部分内容状态码,以及Range 头字段请求的相应部分;如果字段值中的条件没有得到满足,服务器将会返回 {{HTTPStatus("200")}} OK 状态码,并返回完整的请求资源。

+ +

字段值中既可以用 {{HTTPHeader("Last-Modified")}} 时间值用作验证,也可以用{{HTTPHeader("ETag")}}标记作为验证,但不能将两者同时使用。

+ +

If-Range 头字段通常用于断点续传的下载过程中,用来自从上次中断后,确保下载的资源没有发生改变。

+ +

 

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
If-Range: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+If-Range: <etag>
+ +

说明

+ +
+
<etag>
+
一个资源标签(entity tag)代表着所请求的资源。它是由被双引号包围的ACSII 编码的字符串组成的(例如"675af34563dc-tr34")。当应用弱匹配算法时,E-Tag会有一个 W/ 前缀。
+
+ +
+
<day-name>
+
"Mon""Tue""Wed""Thu""Fri""Sat"或者"Sun"当中的一个(大小写敏感)。
+
<day>
+
两位数字,例如"04"或者"23"
+
<month>
+
"Jan""Feb","Mar""Apr""May""Jun""Jul""Aug""Sep""Oct""Nov",或者"Dec"中的一个(大小写敏感)。
+
<year>
+
四位数字,例如"1990"或者"2016"。
+
<hour>
+
两位数字,例如"09"或者"23"
+
<minute>
+
两位数字,例如"04"或者"59"
+
<second>
+
两位数字,例如"04"或者"59"
+
GMT
+
+

格林威治标准时间。HTTP 协议的日期总是要使用GMT,而不是当地时间。

+
+
+ +

示例

+ +
If-Range: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7233", "If-Range", "3.2")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http/headers/if-range")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/if-unmodified-since/index.html b/files/zh-cn/web/http/headers/if-unmodified-since/index.html new file mode 100644 index 0000000000..13655c04db --- /dev/null +++ b/files/zh-cn/web/http/headers/if-unmodified-since/index.html @@ -0,0 +1,96 @@ +--- +title: If-Unmodified-Since +slug: Web/HTTP/Headers/If-Unmodified-Since +tags: + - HTTP + - 条件请求 + - 请求首部 +translation_of: Web/HTTP/Headers/If-Unmodified-Since +--- +
{{HTTPSidebar}}
+ +

HTTP协议中的 If-Unmodified-Since 消息头用于请求之中,使得当前请求成为条件式请求:只有当资源在指定的时间之后没有进行过修改的情况下,服务器才会返回请求的资源,或是接受 {{HTTPMethod("POST")}} 或其他 non-{{Glossary("safe")}} 方法的请求。如果所请求的资源在指定的时间之后发生了修改,那么会返回 {{HTTPStatus("412")}} (Precondition Failed) 错误。

+ +

常见的应用场景有两种:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
If-Unmodified-Since: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

指令

+ +
+
<day-name>
+
 "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" 或 "Sun" 之一 (区分大小写)。
+
<day>
+
两位数字表示的天数, 例如"04" or "23"。
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 之一(区分大小写)。
+
<year>
+
4位数字表示的年份, 例如 "1990" 或者"2016"。
+
<hour>
+
两位数字表示的小时数, 例如 "09" 或者 "23"。
+
<minute>
+
两位数字表示的分钟数,例如"04" 或者 "59"。
+
<second>
+
两位数字表示的秒数,例如 "04" 或者 "59"。
+
GMT
+
+

国际标准时间。HTTP中的时间均用国际标准时间表示,从来不使用当地时间。

+
+
+ +

示例

+ +
If-Unmodified-Since: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7232", "If-Unmodified-Since", "3.4")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.If-Unmodified-Since")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/index.html b/files/zh-cn/web/http/headers/index.html new file mode 100644 index 0000000000..46b0f9df66 --- /dev/null +++ b/files/zh-cn/web/http/headers/index.html @@ -0,0 +1,550 @@ +--- +title: HTTP Headers +slug: Web/HTTP/Headers +tags: + - HTTP Headers +translation_of: Web/HTTP/Headers +--- +

{{ HTTPSidebar }}

+ +

HTTP 消息头允许客户端和服务器通过 request response传递附加信息。一个请求头由名称(不区分大小写)后跟一个冒号“:”,冒号后跟具体的值(不带换行符)组成。该值前面的引导空白会被忽略。

+ +

自定专用消息头可通过'X-' 前缀来添加;但是这种用法被IETF在2012年6月发布的 RFC5548 中明确弃用,原因是其会在非标准字段成为标准时造成不便;其他的消息头在 IANA 注册表 中列出, 其原始内容在 RFC 4229 中定义。 此外,IANA 还维护着被提议的新HTTP 消息头注册表.

+ +

根据不同上下文,可将消息头分为:

+ + + +

消息头也可以根据代理对其的处理方式分为:

+ +

端到端消息头

+ +

这类消息头必须被传输到最终的消息接收者,也即,请求的服务器或响应的客户端。中间的代理服务器必须转发未经修改的端到端消息头,并且必须缓存它们。

+ +

逐跳消息头

+ +

这类消息头仅对单次传输连接有意义,不能通过代理或缓存进行重新转发。这些消息头包括 {{ httpheader("Connection") }}, {{ httpheader("Keep-Alive") }}, {{ httpheader("Proxy-Authenticate") }}, {{ httpheader("Proxy-Authorization") }}, {{ httpheader("TE") }}, {{ httpheader("Trailer") }}, {{ httpheader("Transfer-Encoding") }} 及 {{ httpheader("Upgrade") }}。注意,只能使用 {{ httpheader("Connection") }} 来设置逐跳一般头。

+ +

左侧导航栏提供了按字母顺序排列的列表。以下列清单概括了消息头及其用途:

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
消息头描述更多信息标准
Accept用户代理期望的MIME 类型列表HTTP Content NegotiationHTTP/1.1
Accept-CH +

{{non-standard_inline}}

+
列出配置数据,服务器可据此来选择适当的响应。HTTP Client Hints
Accept-Charset列出用户代理支持的字符集。HTTP Content NegotiationHTTP/1.1
Accept-FeaturesHTTP Content NegotiationRFC 2295, §8.2
Accept-Encoding列出用户代理支持的压缩方法。HTTP Content NegotiationHTTP/1.1
Accept-Language列出用户代理期望的页面语言。HTTP Content NegotiationHTTP/1.1
Accept-Ranges
Access-Control-Allow-CredentialsHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Access-Control-Allow-OriginHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Access-Control-Allow-MethodsHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Access-Control-Allow-HeadersHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Access-Control-Max-AgeHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Access-Control-Expose-HeadersHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("2") }}W3C Cross-Origin Resource Sharing
Access-Control-Request-MethodHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Access-Control-Request-HeadersHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}W3C Cross-Origin Resource Sharing
Age
Allow
AlternatesHTTP Content NegotiationRFC 2295, §8.3
Authorization包含用服务器验证用户代理的凭证
Cache-ControlHTTP Caching FAQ
Connection
Content-Encoding
Content-Language
Content-Length
Content-Location
Content-MD5{{ unimplemented_inline("232030") }}
Content-Range
Content-Security-Policy控制用户代理在一个页面上可以加载使用的资源。CSP (Content Security Policy)W3C Content Security Policy
Content-Type指示服务器文档的MIME 类型。帮助用户代理(浏览器)去处理接收到的数据。
CookieRFC 2109
DNT设置该值为1, 表明用户明确退出任何形式的网上跟踪。Supported by Firefox 4, Firefox 5 for mobile, IE9, and a few major companies.{{SpecName("Tracking")}}
Date
ETagHTTP Caching FAQ
Expect
ExpiresHTTP Caching FAQ
From
Host
If-Match
If-Modified-SinceHTTP Caching FAQ
If-None-MatchHTTP Caching FAQ
If-Range
If-Unmodified-Since
Last-Event-ID给出服务器在先前HTTP连接上接收的最后事件的ID。用于同步文本/事件流。Server-Sent EventsServer-Sent Events spec
Last-ModifiedHTTP Caching FAQ
Link +

等同于HTML标签中的"link",但它是在HTTP层上,给出一个与获取的资源相关的URL以及关系的种类。

+
+

For the rel=prefetch case, see Link Prefetching FAQ

+
+

Introduced in HTTP 1.1's RFC 2068, section 19.6.2.4, it was removed in the final HTTP 1.1 spec, then reintroduced, with some extensions, in RFC 5988

+
Location
Max-Forwards
NegotiateHTTP Content NegotiationRFC 2295, §8.4
OriginHTTP Access Control and Server Side Access Control{{ gecko_minversion_inline("1.9.1") }}More recently defined in the Fetch spec (see Fetch API.) Originally defined in W3C Cross-Origin Resource Sharing
Pragmafor the pragma: nocache value see HTTP Caching FAQ
Proxy-Authenticate
Proxy-Authorization
Range
Referer +

(请注意,在HTTP / 0.9规范中引入的正交错误必须在协议的后续版本中保留)

+
Retry-After
Sec-Websocket-Extensions Websockets
Sec-Websocket-Key Websockets
Sec-Websocket-Origin Websockets
Sec-Websocket-Protocol Websockets
Sec-Websocket-Version Websockets
Server
Set-CookieRFC 2109
Set-Cookie2RFC 2965
Strict-Transport-SecurityHTTP Strict Transport SecurityIETF reference
TCNHTTP Content NegotiationRFC 2295, §8.5
TE
Trailer +

列出将在消息正文之后在尾部块中传输的头。这允许服务器计算一些值,如Content-MD5:在传输数据时。请注意,Trailer:标头不得列出Content-Length :, Trailer:或Transfer-Encoding:headers。

+
RFC 2616, §14.40
Transfer-Encoding
Upgrade
User-Agentfor Gecko's user agents see the User Agents Reference
Variant-VaryHTTP Content NegotiationRFC 2295, §8.6
Vary +

列出了用作Web服务器选择特定内容的条件的标头。此服务器对于高效和正确缓存发送的资源很重要。

+
HTTP Content Negotiation & HTTP Caching FAQ
Via
Warning
WWW-Authenticate
X-Content-DurationConfiguring servers for Ogg media
X-Content-Security-PolicyUsing Content Security Policy
X-DNSPrefetch-ControlControlling DNS prefetching
X-Frame-OptionsThe XFrame-Option Response Header
X-Requested-With +

通常在值为“XMLHttpRequest”时使用

+
Not standard
+ +

注意

+ +
+

注意:{{Gecko ("5.0") }}不会发送带有Keep-Alive的请求头。以前的版本确实发送过,但格式并不正确,因此决定暂时删除它。{{ httpheader("Connection") }}或{{ httpheader("Proxy-Connection") }}报文首部仍然会发送,带着"keep-alive"的值。

+
+ +

更多

+ +

维基百科上对HTTP首部的展示

diff --git a/files/zh-cn/web/http/headers/index/index.html b/files/zh-cn/web/http/headers/index/index.html new file mode 100644 index 0000000000..e9b8ba9ad0 --- /dev/null +++ b/files/zh-cn/web/http/headers/index/index.html @@ -0,0 +1,8 @@ +--- +title: Index +slug: Web/HTTP/Headers/Index +translation_of: Web/HTTP/Headers/Index +--- +
{{HTTPSidebar}}
+ +

{{Index("/en-US/docs/Web/HTTP/Headers")}}

diff --git a/files/zh-cn/web/http/headers/keep-alive/index.html b/files/zh-cn/web/http/headers/keep-alive/index.html new file mode 100644 index 0000000000..afd7bc4111 --- /dev/null +++ b/files/zh-cn/web/http/headers/keep-alive/index.html @@ -0,0 +1,95 @@ +--- +title: Keep-Alive +slug: Web/HTTP/Headers/Keep-Alive +tags: + - HTTP + - HTTP Headers +translation_of: Web/HTTP/Headers/Keep-Alive +--- +
{{HTTPSidebar}}
+ +

Keep-Alive 是一个通用消息头,允许消息发送者暗示连接的状态,还可以用来设置超时时长和最大请求数。

+ +
+

需要将 The {{HTTPHeader("Connection")}} 首部的值设置为  "keep-alive" 这个首部才有意义。同时需要注意的是,在HTTP/2 协议中, {{HTTPHeader("Connection")}} 和 {{HTTPHeader("Keep-Alive")}}  是被忽略的;在其中采用其他机制来进行连接管理。

+
+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Keep-Alive: parameters
+ +

指令

+ +
+
parameters
+
一系列用逗号隔开的参数,每一个参数由一个标识符和一个值构成,并使用等号 ('=') 隔开。下述标识符是可用的: +
    +
  • timeout:指定了一个空闲连接需要保持打开状态的最小时长(以秒为单位)。需要注意的是,如果没有在传输层设置 keep-alive TCP message 的话,大于 TCP 层面的超时设置会被忽略。
  • +
  • max:在连接关闭之前,在此连接可以发送的请求的最大值。在非管道连接中,除了 0 以外,这个值是被忽略的,因为需要在紧跟着的响应中发送新一次的请求。HTTP 管道连接则可以用它来限制管道的使用。
  • +
+
+
+ +

示例

+ +

含有 Keep-Alive 首部的响应示例:

+ +
HTTP/1.1 200 OK
+Connection: Keep-Alive
+Content-Encoding: gzip
+Content-Type: text/html; charset=utf-8
+Date: Thu, 11 Aug 2016 15:23:13 GMT
+Keep-Alive: timeout=5, max=1000
+Last-Modified: Mon, 25 Jul 2016 04:32:39 GMT
+Server: Apache
+
+(body)
+ +

规范

+ + + + + + + + + + + + + + + + + + + + +
SpecificationTitle
HyperText Transport Protocol Keep-Alive HeaderThe Keep-Alive Header (Experimental specification)
RFC 7230, appendix A.1.2: Keep-AliveHypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
{{RFC("2068", "The Keep-Alive Header", "19.7.1.1")}}Hypertext Transfer Protocol -- HTTP/1.1
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Keep-Alive")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/large-allocation/index.html b/files/zh-cn/web/http/headers/large-allocation/index.html new file mode 100644 index 0000000000..5bfd1d4b79 --- /dev/null +++ b/files/zh-cn/web/http/headers/large-allocation/index.html @@ -0,0 +1,87 @@ +--- +title: Large-Allocation +slug: Web/HTTP/Headers/Large-Allocation +translation_of: Web/HTTP/Headers/Large-Allocation +--- +
{{HTTPSidebar}}
+ +

非标准的Large-Allocation 响应头部是用来告诉浏览器加载该页面可能需要申请大内存. 当前只有Firefox实现该特性,但是对其他浏览器也无损害。

+ +

WebAssembly 或者 asm.js会使用比较大的连续内存空间。例如, 对于一些复杂的游戏, 其申请的空间将会非常大,甚至会达到1GB。Large-Allocation 告诉浏览器其将要加载的页面可能需要申请一个大的连续内存空间,浏览器依据该头部可能会单独启动一个专有的进程用于处理该页面。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Large-Allocation: 0
+Large-Allocation: <megabytes>
+
+ +

指令

+ +
+
0
+
0 是一个特殊的值,代表给它分配的大小是不确定的(动态允许).
+
<megabytes>
+
预期需要申请的内存大小,以M为单位
+
+
+ +

示例

+ +
Large-Allocation: 0
+Large-Allocation: 500
+
+ +

排除错误

+ +

如果使用不当, Large-Allocation 会抛出警告或者错误信息,你可以在 web console 查看它们。

+ +
+
由于Large-Allocation报头存在,这个页面会在一个新的进程处理和加载
+
This message means that the browser saw the Large-Allocation header, and was able to reload the page into a new process which should have more available contiguous memory.
+
 Large-Allocation 报头由于非non-GET请求而直接忽略
+
当一个 {{HTTPMethod("POST")}} 请求用语加载文档, that load cannot currently be redirected into a new process. This error is displayed when loading a document with a Large-Allocation header with a non-GET HTTP method. This could be caused due to the document being loaded by a form submission, for example.
+
A Large-Allocation header was ignored due to the presence of windows which have a reference to this browsing context through the frame hierarchy or {{domxref("window.opener")}}.
+
+

This error means that the document was not loaded at the top level of an user-opened or noopener-opened tab or window. It can occur in these situations:

+ +
    +
  • The document with the Large-Allocation header was loaded in an {{HTMLElement("iframe")}}. Firefox cannot move an iframe into a new process currently, so the document must load in the current process.
  • +
  • The document with the Large-Allocation header was loaded in a window which was opened by {{domxref("window.open()")}}, <a target="_blank"> or other similar methods without rel="noopener" or the "noopener" feature being set. These windows must remain in the same process as their opener, as they can communicate, meaning that we cannot allow them to switch processes.
  • +
  • The document with the Large-Allocation header has opened another window with {{domxref("window.open()")}}, <a target="_blank"> or other similar methods without rel="noopener" or the "noopener" feature being set. This is for the same reason as above, namely that they can communicate and thus we cannot allow them to switch processes.
  • +
+
+
Large-Allocation 报头由于 文档在加载过程没有被加载而直接忽略
+
Firefox has moved to a multiprocess architecture, and this architecture is required in order to support the Large-Allocation header. Some legacy Addons can prevent Firefox from using this new, faster, multiprocess architecture. If you have one of these Addons installed, then we will continue to use the old single process architecuture for compatibility, and cannot handle the Large-Allocation header.
+
由于Large-Allocation头部,此页面应将被加载到新进程中, 但是在非Win32平台上禁用此选项。
+
由于在64位系统里内存碎片不是问题,Firefox只在32位系统支持Large-Allocation头部。如果你运行一个非32位的程序,这类信息就会出现。可以设置about:config里面的"dom.largeAllocation.forceEnable"布尔值来关闭此检查。
+
+
+ +

规范

+ +

现还不属于任何规范,可以通过这篇文档了解该头部的背后思想。

+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Large-Allocation")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/last-modified/index.html b/files/zh-cn/web/http/headers/last-modified/index.html new file mode 100644 index 0000000000..e72ef0c34c --- /dev/null +++ b/files/zh-cn/web/http/headers/last-modified/index.html @@ -0,0 +1,89 @@ +--- +title: Last-Modified +slug: Web/HTTP/Headers/Last-Modified +tags: + - 请求首部 +translation_of: Web/HTTP/Headers/Last-Modified +--- +
{{HTTPSidebar}}
+ +

The Last-Modified  是一个响应首部,其中包含源头服务器认定的资源做出修改的日期及时间。 它通常被用作一个验证器来判断接收到的或者存储的资源是否彼此一致。由于精确度比  {{HTTPHeader("ETag")}} 要低,所以这是一个备用机制。包含有  {{HTTPHeader("If-Modified-Since")}} 或 {{HTTPHeader("If-Unmodified-Since")}} 首部的条件请求会使用这个字段。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

语法

+ +
Last-Modified: <day-name>, <day> <month> <year> <hour>:<minute>:<second> GMT
+
+ +

指令

+ +
+
<day-name>
+
 "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" 或 "Sun" 之一 (区分大小写)。
+
<day>
+
两位数字表示的天数, 例如"04" or "23"。
+
<month>
+
"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" 之一(区分大小写)。
+
<year>
+
4位数字表示的年份, 例如 "1990" 或者"2016"。
+
<hour>
+
两位数字表示的小时数, 例如 "09" 或者 "23"。
+
<minute>
+
两位数字表示的分钟数,例如"04" 或者 "59"。
+
<second>
+
两位数字表示的秒数,例如 "04" 或者 "59"。
+
GMT
+
+

国际标准时间。HTTP中的时间均用国际标准时间表示,从来不使用当地时间。

+
+
+ +

示例

+ +
Last-Modified: Wed, 21 Oct 2015 07:28:00 GMT
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7232", "Last-Modified", "2.2")}}Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Last-Modified")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/link/index.html b/files/zh-cn/web/http/headers/link/index.html new file mode 100644 index 0000000000..f76e635f75 --- /dev/null +++ b/files/zh-cn/web/http/headers/link/index.html @@ -0,0 +1,65 @@ +--- +title: Link +slug: Web/HTTP/Headers/Link +translation_of: Web/HTTP/Headers/Link +--- +

{{HTTPSidebar}}{{Draft}}

+ +

HTTP实体报头 Link 提供了序列化HTTP头部链接的方法。它在语义上与HTML元素 {{HTMLElement("link")}} 相等。

+ +

语法

+ +
Link: < uri-reference >; param1=value1; param2="value2"
+ +
+
<uri-reference>
+
URI reference 必须要用 <>来关闭。
+
+ +

参数

+ +

link头部包含以 ; 分隔的参数,这些参数与HTML元素 {{HTMLElement("link")}} 的属性一致。

+ +

示例

+ +

URI 必须要用 <> 来关闭:

+ +
Link: <https://example.com>; rel="preload"
+ +
Link: https://bad.example; rel="preload"
+ +

规范

+ + + + + + + + + + + + + + + + + + + + + +
SpecificationStatusComments
{{RFC(8288, "Link Serialisation in HTTP Headers", 3)}}IETF RFC
{{RFC(5988, "The Link Header Field", 5)}}IETF RFCInitial definition
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Link")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/location/index.html b/files/zh-cn/web/http/headers/location/index.html new file mode 100644 index 0000000000..e7a1fa39ba --- /dev/null +++ b/files/zh-cn/web/http/headers/location/index.html @@ -0,0 +1,82 @@ +--- +title: Location +slug: Web/HTTP/Headers/Location +tags: + - 响应首部 + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/Location +--- +
{{HTTPSidebar}}
+ +

Location 首部指定的是需要将页面重新定向至的地址。一般在响应码为3xx的响应中才会有意义。

+ +

发送新请求,获取Location指向的新页面所采用的方法与初始请求使用的方法以及重定向的类型相关:

+ + + +

状态码为上述之一的所有响应都会带有一个Location首部。

+ +

除了重定向响应之外, 状态码为 {{HTTPHeader("201")}} (Created) 的消息也会带有Location首部。它指向的是新创建的资源的地址。

+ +

Location 与 Content-Location是不同的,前者(Location )指定的是一个重定向请求的目的地址(或者新创建的文件的URL),而后者( Content-Location) 指向的是经过内容协商后的资源的直接地址,不需要进行进一步的内容协商。Location 对应的是响应,而Content-Location对应的是要返回的实体。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Location: <url>
+
+ +

指令

+ +
+
<url>
+
相对地址(相对于要访问的URL)或绝对地址。
+
+ +

示例

+ +
Location: /index.html
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Location", "7.1.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Location")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/origin/index.html b/files/zh-cn/web/http/headers/origin/index.html new file mode 100644 index 0000000000..32b348b50b --- /dev/null +++ b/files/zh-cn/web/http/headers/origin/index.html @@ -0,0 +1,77 @@ +--- +title: Origin +slug: Web/HTTP/Headers/Origin +translation_of: Web/HTTP/Headers/Origin +--- +
{{HTTPSidebar}}
+ +

请求首部字段 Origin 指示了请求来自于哪个站点。该字段仅指示服务器名称,并不包含任何路径信息。该首部用于 {{Glossary("CORS")}} 请求或者 {{HTTPMethod("POST")}} 请求。除了不包含路径信息,该字段与 {{HTTPHeader("Referer")}} 首部字段相似。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Origin: ""
+Origin: <scheme> "://" <host> [ ":" <port> ]
+
+ +

有时候将该字段的值置空是有用的,例如,资源由一个 data URL 指定。

+ +

声明

+ +
+
<scheme>
+
请求所使用的协议,通常是HTTP协议或者它的安全版本HTTPS协议。
+
<host>
+
服务器的域名或 IP 地址。
+
<port> {{optional_inline}}
+
服务器正在监听的TCP 端口号。缺省为服务的默认端口(对于 HTTP 请求而言,默认端口为 80)。
+
+ +

示例

+ +
Origin: https://developer.mozilla.org
+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationComment
{{RFC("6454", "Origin", "7")}}The Web Origin Concept
{{SpecName('Fetch','#origin-header','Origin header')}}Supplants the Origin header as defined in RFC6454.
+ +

浏览器兼容性

+ + + +

{{Compat("http/headers/origin")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/pragma/index.html b/files/zh-cn/web/http/headers/pragma/index.html new file mode 100644 index 0000000000..1aa4fe2f09 --- /dev/null +++ b/files/zh-cn/web/http/headers/pragma/index.html @@ -0,0 +1,79 @@ +--- +title: Pragma +slug: Web/HTTP/Headers/Pragma +tags: + - 缓存 + - 通用首部 + - 首部 +translation_of: Web/HTTP/Headers/Pragma +--- +
{{HTTPSidebar}}
+ +

Pragma 是一个在 HTTP/1.0 中规定的通用首部,这个首部的效果依赖于不同的实现,所以在“请求-响应”链中可能会有不同的效果。它用来向后兼容只支持 HTTP/1.0 协议的缓存服务器,那时候 HTTP/1.1 协议中的 Cache-Control 还没有出来。

+ +
+

注意:由于 Pragma 在 HTTP 响应中的行为没有确切规范,所以不能可靠替代 HTTP/1.1 中通用首部 Cache-Control,尽管在请求中,假如 Cache-Control 不存在的话,它的行为与 Cache-Control: no-cache 一致。建议只在需要兼容 HTTP/1.0 客户端的场合下应用 Pragma 首部。

+
+ + + + + + + + + + + + + + + + +
Header type{{Glossary("General header")}}, but response behavior is not specified and thus implementation-specific.
{{Glossary("Forbidden header name")}}no
{{Glossary("Simple response header", "CORS-safelisted response-header")}}yes
+ +

语法

+ +
Pragma: no-cache
+
+ +

指令

+ +
+
no-cache
+
+

与 Cache-Control: no-cache 效果一致。强制要求缓存服务器在返回缓存的版本之前将请求提交到源头服务器进行验证。

+
+
+ +

示例

+ +
Pragma: no-cache
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7234", "Pragma", "5.4")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Pragma")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/proxy-authenticate/index.html b/files/zh-cn/web/http/headers/proxy-authenticate/index.html new file mode 100644 index 0000000000..64a46c2674 --- /dev/null +++ b/files/zh-cn/web/http/headers/proxy-authenticate/index.html @@ -0,0 +1,77 @@ +--- +title: Proxy-Authenticate +slug: Web/HTTP/Headers/Proxy-Authenticate +tags: + - 代理 + - 响应首部 + - 首部 +translation_of: Web/HTTP/Headers/Proxy-Authenticate +--- +
{{HTTPSidebar}}
+ +

The HTTP Proxy-Authenticate 是一个响应首部,指定了获取 {{Glossary("proxy server")}} (代理服务器)上的资源访问权限而采用的身份验证方式。代理服务器对请求进行验证,以便它进一步传递请求。

+ +

Proxy-Authenticate 首部需要与 {{HTTPStatus("407")}} Proxy Authentication Required 响应一起发送。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Proxy-Authenticate: <type> realm=<realm>
+
+ +

指令

+ +
+
<type>
+
身份验证类型。一个常见的类型是 "基本验证"。IANA 机构维护了 一系列的身份验证机制
+
realm=<realm>
+
对于被保护区域(即安全域)的描述。如果没有指定安全域,客户端通常用一个格式化的主机名来代替。
+
+ +

示例

+ +
Proxy-Authenticate: Basic
+
+Proxy-Authenticate: Basic realm="Access to the internal site"
+
+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7235", "Proxy-Authenticate", "4.3")}}HTTP/1.1: Authentication
{{RFC("7617")}}The 'Basic' HTTP Authentication Scheme
+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/proxy-authorization/index.html b/files/zh-cn/web/http/headers/proxy-authorization/index.html new file mode 100644 index 0000000000..f7dafee9a1 --- /dev/null +++ b/files/zh-cn/web/http/headers/proxy-authorization/index.html @@ -0,0 +1,81 @@ +--- +title: Proxy-Authorization +slug: Web/HTTP/Headers/Proxy-Authorization +tags: + - 请求首部 + - 身份验证 + - 首部 +translation_of: Web/HTTP/Headers/Proxy-Authorization +--- +
{{HTTPSidebar}}
+ +

Proxy-Authorization 是一个请求首部,其中包含了用户代理提供给代理服务器的用于身份验证的凭证。这个首部通常是在服务器返回了 {{HTTPStatus("407")}} Proxy Authentication Required 响应状态码及 {{HTTPHeader("Proxy-Authenticate")}} 首部后发送的。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Proxy-Authorization: <type> <credentials>
+ +

指令

+ +
+
<type>
+
身份验证类型。一个常见的类型是 "基本验证"。IANA 机构维护了 一系列的身份验证机制
+
<credentials>
+
凭证的构成方式如下: +
    +
  • 将用户名和密码用冒号拼接(aladdin:opensesame)。
  • +
  • 将拼接生成的字符串使用 base64 编码方式进行编码(YWxhZGRpbjpvcGVuc2VzYW1l)。
  • +
+ +
+

注意: Base64 编码方式不是用来加密或者获取摘要的!这种方法的安全性相当于将凭证使用明文发送(base64 是一种可逆编码方式)。在使用基本身份验证方式的时候推荐与 HTTPS 搭配使用。

+
+
+
+ +

示例

+ +
Proxy-Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
+
+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7235", "Proxy-Authorization", "4.4")}}HTTP/1.1: Authentication
{{RFC("7617")}}The 'Basic' HTTP Authentication Scheme
+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/public-key-pins-report-only/index.html b/files/zh-cn/web/http/headers/public-key-pins-report-only/index.html new file mode 100644 index 0000000000..178d501735 --- /dev/null +++ b/files/zh-cn/web/http/headers/public-key-pins-report-only/index.html @@ -0,0 +1,93 @@ +--- +title: Public-Key-Pins-Report-Only +slug: Web/HTTP/Headers/Public-Key-Pins-Report-Only +tags: + - HPKP + - HTTP + - 头部 + - 安全 +translation_of: Web/HTTP/Headers/Public-Key-Pins-Report-Only +--- +
HTTP响应头部Public-Key-Pins-Report-Only用于设置在公钥固定不匹配时,发送错误信息到report-uri。 但和{{HTTPHeader("Public-Key-Pins")}}不同的是,即便公钥固定异常, 其允许浏览器继续访问服务器。
+ +

 

+ +

更多信息可以查看{{HTTPHeader("Public-Key-Pins")}}参考页面和HTTP Public Key Pinning文章

+ +

 

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Public-Key-Pins-Report-Only: pin-sha256="<pin-value>";
+                             max-age=<expire-time>;
+                             includeSubDomains;
+                             report-uri="<uri>"
+ +

指令

+ +
+
pin-sha256="<pin-value>"
+
引号里面的是内容是以Base64编码的 {{Glossary("SPKI")}}(公钥) 指纹。你可以为多个不同的公钥都设定对应的pins。 一些浏览器将来可能也支持非SHA-256 的哈希算法。
+
max-age=<expire-time>
+
该指令对 Public-Key-Pins-Report-Only无效,客户端会忽略也不会缓存此头部。
+
 
+
includeSubDomains {{optional_inline}}
+
如果该选项被指定,该规则也会应用到网站的所有子域名
+
report-uri="<uri>"
+
+ +

     设置Pin验证失败报告的URL地址。这个指令应该和该头部一起使用,否则这个头部将是一个空操作。

+ +
+
 
+
+ +

例子

+ +
Public-Key-Pins-Report-Only:
+  pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=";
+  pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=";
+  includeSubDomains;
+  report-uri="https://www.example.org/hpkp-report"
+ +

在这个例子里面,pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=" 固定了该服务器的公钥.。第二个声明pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=" 也固定了服务器的备用公钥。同时通过includeSubDomains 的声明使得该设置对所有子域名都生效。最后, report-uri="https://www.example.org/hpkp-report" 则是定义了在验证失败时将异常信息发送到该服务器。

+ +

标准

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7469", "Public-Key-Pins-Report-Only", "2.1")}}Public Key Pinning Extension for HTTP
+ +

浏览器兼容

+ + + +

{{Compat("http.headers.Public-Key-Pins-Report-Only")}}

+ +

更多

+ + diff --git a/files/zh-cn/web/http/headers/public-key-pins/index.html b/files/zh-cn/web/http/headers/public-key-pins/index.html new file mode 100644 index 0000000000..1956085818 --- /dev/null +++ b/files/zh-cn/web/http/headers/public-key-pins/index.html @@ -0,0 +1,89 @@ +--- +title: Public-Key-Pins +slug: Web/HTTP/Headers/Public-Key-Pins +tags: + - 中间人攻击 + - 公钥 + - 响应首部 + - 安全性 +translation_of: Web/HTTP/Headers/Public-Key-Pins +--- +
{{HTTPSidebar}}
+ +

Public-Key-Pins 是一个响应首部,其包含该Web 服务器用来进行加密的 public {{glossary('key')}} (公钥)信息 ,以此来降低使用伪造证书进行 {{Glossary("MITM")}}  (中间人攻击)的风险。如果锚定的加密串与服务器返回的公钥不匹配,那么浏览器将会认定响应不合法,并且不会将结果展示给用户。

+ +

更多相关信息请参考 HTTP Public Key Pinning 这篇文章。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Public-Key-Pins: pin-sha256="<pin-value>";
+                 max-age=<expire-time>;
+                 includeSubDomains;
+                 report-uri="<uri>"
+ +

指令

+ +
+
pin-sha256="<pin-value>"
+
引号里面的是内容是以Base64编码的 {{Glossary("SPKI")}}(公钥) 指纹.你可以为多个不同的公钥都设定对应的pins。 一些浏览器将来可能也支持非SHA-256 的哈希算法。
+
max-age=<expire-time>
+
指定以秒为单位的时间,在这段时间内,浏览器应该记住, 该站点只能以这些指定的密钥进行访问
+
includeSubDomains {{optional_inline}}
+
如果该选项被指定,该规则也会应用到网站的所有子域名
+
report-uri="<uri>" {{optional_inline}}
+
如果该可选项被指定,一旦pin校验失败,就会发送此相关异常信息给该URL
+
+ +

示例

+ +
+

如果设置不合理,HPKP可能会使得用户长时间不能访问网站。因此建议也同时固定备用证书或者CA证书。

+
+ +
Public-Key-Pins:
+  pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=";
+  pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=";
+  max-age=5184000; includeSubDomains;
+  report-uri="https://www.example.org/hpkp-report"
+ +

在这个例子里面,pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=" 固定了该服务器的公钥. 第二个声明pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=" 也固定了服务器的备用公钥. max-age=5184000 则是让客户端(浏览器)将该固定扩展信息存储两个月, 这个是IETF RFC建议时间。同时通过includeSubDomains 的声明使得该设置对所有子域名都生效;最后, report-uri="https://www.example.org/hpkp-report" 则是定义了验证失败时异常信息发送的服务器地址。

+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7469", "Public-Key-Pins", "2.1")}}Public Key Pinning Extension for HTTP
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Public-Key-Pins")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/range/index.html b/files/zh-cn/web/http/headers/range/index.html new file mode 100644 index 0000000000..94e10506d8 --- /dev/null +++ b/files/zh-cn/web/http/headers/range/index.html @@ -0,0 +1,83 @@ +--- +title: Range +slug: Web/HTTP/Headers/Range +tags: + - HTTP + - HTTP首部 + - 范围请求 + - 请求首部 +translation_of: Web/HTTP/Headers/Range +--- +
{{HTTPSidebar}}
+ +

The Range 是一个请求首部,告知服务器返回文件的哪一部分。在一个  Range 首部中,可以一次性请求多个部分,服务器会以 multipart 文件的形式将其返回。如果服务器返回的是范围响应,需要使用 {{HTTPStatus("206")}} Partial Content 状态码。假如所请求的范围不合法,那么服务器会返回  {{HTTPStatus("416")}} Range Not Satisfiable 状态码,表示客户端错误。服务器允许忽略  Range  首部,从而返回整个文件,状态码用 {{HTTPStatus("200")}} 。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Range: <unit>=<range-start>-
+Range: <unit>=<range-start>-<range-end>
+Range: <unit>=<range-start>-<range-end>, <range-start>-<range-end>
+Range: <unit>=<range-start>-<range-end>, <range-start>-<range-end>, <range-start>-<range-end>
+ +

指令

+ +
+
<unit>
+
范围所采用的单位,通常是字节(bytes)。
+
+ +
+
<range-start>
+
一个整数,表示在特定单位下,范围的起始值。
+
<range-end>
+
一个整数,表示在特定单位下,范围的结束值。这个值是可选的,如果不存在,表示此范围一直延伸到文档结束。
+
+ +

示例

+ +
Range: bytes=200-1000, 2000-6576, 19000-
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7233", "Range", "3.1")}}Hypertext Transfer Protocol (HTTP/1.1): Range Requests
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Range")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/referer/index.html b/files/zh-cn/web/http/headers/referer/index.html new file mode 100644 index 0000000000..7aecd936e3 --- /dev/null +++ b/files/zh-cn/web/http/headers/referer/index.html @@ -0,0 +1,84 @@ +--- +title: Referer +slug: Web/HTTP/Headers/Referer +tags: + - 引用 + - 消息头 + - 请求头 +translation_of: Web/HTTP/Headers/Referer +--- +
{{HTTPSidebar}}
+ +

Referer 请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。

+ +

需要注意的是 referer 实际上是 "referrer" 误拼写。参见 {{interwiki("wikipedia", "HTTP_referer", "HTTP referer on Wikipedia")}} (HTTP referer 在维基百科上的条目)来获取更详细的信息。

+ +
+

Referer 请求头可能暴露用户的浏览历史,涉及到用户的隐私问题。

+
+ +

在以下两种情况下,Referer 不会被发送:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Referer: <url>
+
+ +

指令

+ +
+
<url>
+
当前页面被链接而至的前一页面的绝对路径或者相对路径。不包含 URL fragments (例如 "#section") 和 userinfo (例如 "https://username:password@example.com/foo/bar/" 中的 "username:password" )。
+
+ +

示例

+ +
Referer: https://developer.mozilla.org/en-US/docs/Web/JavaScript
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Referer", "5.5.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Referer")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/referrer-policy/index.html b/files/zh-cn/web/http/headers/referrer-policy/index.html new file mode 100644 index 0000000000..cf90261cd7 --- /dev/null +++ b/files/zh-cn/web/http/headers/referrer-policy/index.html @@ -0,0 +1,259 @@ +--- +title: Referrer-Policy +slug: Web/HTTP/Headers/Referrer-Policy +tags: + - HTTP + - 响应 + - 请求头 + - 请求首部 + - 隐私 + - 首部 +translation_of: Web/HTTP/Headers/Referrer-Policy +--- +
Referrer-Policy 首部用来监管哪些访问来源信息——会在 {{HTTPHeader("Referer")}}  中发送——应该被包含在生成的请求当中。
+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +

注意 {{HTTPHeader("Referer")}} 实际上是单词 "referrer" 的错误拼写。Referrer-Policy 这个首部并没有延续这个错误拼写。

+ +
Referrer-Policy: no-referrer
+Referrer-Policy: no-referrer-when-downgrade
+Referrer-Policy: origin
+Referrer-Policy: origin-when-cross-origin
+Referrer-Policy: same-origin
+Referrer-Policy: strict-origin
+Referrer-Policy: strict-origin-when-cross-origin
+Referrer-Policy: unsafe-url
+
+ +

指令

+ +
+
no-referrer
+
整个 {{HTTPHeader("Referer")}}  首部会被移除。访问来源信息不随着请求一起发送。
+
no-referrer-when-downgrade (默认值)
+
在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。
+
origin
+
在任何情况下,仅发送文件的源作为引用地址。例如  https://example.com/page.html 会将 https://example.com/ 作为引用地址。
+
origin-when-cross-origin
+
对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
+
same-origin
+
对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。
+
strict-origin
+
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
+
strict-origin-when-cross-origin
+
对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
+
unsafe-url
+
无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。 +
这项设置会将受 TLS 安全协议保护的资源的源和路径信息泄露给非安全的源服务器。进行此项设置的时候要慎重考虑。
+
+
+ +

集成到 HTML

+ +

你也可以在 HTML 内设置 referrer 策略。例如,你可以用一个 name 为 referrer 的 {{HTMLElement("meta")}} 元素为整个文档设置 referrer 策略。

+ +
<meta name="referrer" content="origin">
+ +

或者用 {{HTMLElement("a")}}、{{HTMLElement("area")}}、{{HTMLElement("img")}}、{{HTMLElement("iframe")}}、{{HTMLElement("script")}} 或者 {{HTMLElement("link")}} 元素上的 referrerpolicy 属性为其设置独立的请求策略。

+ +
<a href="http://example.com" referrerpolicy="origin">
+ +

另外也可以在 {{HTMLElement("a")}}、{{HTMLElement("area")}} 或者 {{HTMLElement("link")}} 元素上将 rel 属性设置为 noreferrer

+ +
<a href="http://example.com" rel="noreferrer">
+ +

集成到 CSS

+ +

CSS 可以从样式表获取引用的资源,这些资源也可以遵从 referrer 策略:

+ + + +

示例

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
PolicyDocumentNavigation toReferrer
no-referrerhttps://example.com/page.htmlany domain or pathno referrer
no-referrer-when-downgradehttps://example.com/page.htmlhttps://example.com/otherpage.htmlhttps://example.com/page.html
no-referrer-when-downgradehttps://example.com/page.htmlhttps://mozilla.orghttps://example.com/page.html
no-referrer-when-downgradehttps://example.com/page.htmlhttp://example.orgno referrer
originhttps://example.com/page.htmlany domain or pathhttps://example.com/
origin-when-cross-originhttps://example.com/page.htmlhttps://example.com/otherpage.htmlhttps://example.com/page.html
origin-when-cross-originhttps://example.com/page.htmlhttps://mozilla.orghttps://example.com/
origin-when-cross-originhttps://example.com/page.htmlhttp://example.com/page.htmlhttps://example.com/
same-originhttps://example.com/page.htmlhttps://example.com/otherpage.htmlhttps://example.com/page.html
same-originhttps://example.com/page.htmlhttps://mozilla.orgno referrer
strict-originhttps://example.com/page.htmlhttps://mozilla.orghttps://example.com/
strict-originhttps://example.com/page.htmlhttp://example.orgno referrer
strict-originhttp://example.com/page.htmlany domain or pathhttp://example.com/
strict-origin-when-cross-originhttps://example.com/page.htmlhttps://example.com/otherpage.htmlhttps://example.com/page.html
strict-origin-when-cross-originhttps://example.com/page.htmlhttps://mozilla.orghttps://example.com/
strict-origin-when-cross-originhttps://example.com/page.htmlhttp://example.orgno referrer
unsafe-urlhttps://example.com/page.htmlany domain or pathhttps://example.com/page.html
+ +

指定后备策略

+ +

如果你要为那些策略未获广泛的浏览器支持的情况指定一种后备策略,使用逗号分隔的列表,并将希望使用的策略放在最后:

+ +
Referrer-Policy: no-referrer, strict-origin-when-cross-origin
+ +

在上面的场景中,no-referrer 仅在 strict-origin-when-cross-origin 不被浏览器支持的情况下被使用。

+ +

规范

+ + + + + + + + + + + + +
规范状态
Referrer Policy 草稿
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Referrer-Policy")}}

+ +

注意: 从版本 53 起,Gecko 在 about:config 中提供了一项偏好设置,使得用户可以自行设定默认的 Referrer-Policy 值 —— network.http.referer.userControlPolicy 。可选的值包括:

+ + + +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/retry-after/index.html b/files/zh-cn/web/http/headers/retry-after/index.html new file mode 100644 index 0000000000..38f863cd3a --- /dev/null +++ b/files/zh-cn/web/http/headers/retry-after/index.html @@ -0,0 +1,82 @@ +--- +title: Retry-After +slug: Web/HTTP/Headers/Retry-After +tags: + - 响应首部 +translation_of: Web/HTTP/Headers/Retry-After +--- +
{{HTTPSidebar}}
+ +

在HTTP协议中,响应首部 Retry-After 表示用户代理需要等待多长时间之后才能继续发送请求。这个首部主要应用于以下两种场景:

+ + + + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Retry-After: <http-date>
+Retry-After: <delay-seconds>
+
+ +

指令

+ +
+
<http-date>
+
表示在此时间之后可以重新尝试。参见  {{HTTPHeader("Date")}}  首部来获取HTTP协议中关于日期格式的细节信息。
+
<delay-seconds>
+
一个非负的十进制整数,表示在重试之前需要等待的秒数。
+
+ +

示例

+ +

对于计划内宕机时间的处理

+ +

不同的客户端与服务器端应用对于 Retry-After 首部的支持依然不太一致。不过,一些爬虫程序,比如谷歌的爬虫程序 Googlebot,会遵循 Retry-After 首部的规则。将其与  {{HTTPStatus(503)}} (Service Unavailable,当前服务不存在)  响应一起发送有助于互联网引擎做出判断,在宕机结束之后继续对网站构建索引。

+ +
Retry-After: Wed, 21 Oct 2015 07:28:00 GMT
+Retry-After: 120
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Retry-After", "7.1.3")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Retry-After")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/save-data/index.html b/files/zh-cn/web/http/headers/save-data/index.html new file mode 100644 index 0000000000..ca37e92769 --- /dev/null +++ b/files/zh-cn/web/http/headers/save-data/index.html @@ -0,0 +1,104 @@ +--- +title: Save-Data +slug: Web/HTTP/Headers/Save-Data +tags: + - HTTP + - HTTP Header + - Reference + - Request header + - Save-Data + - header +translation_of: Web/HTTP/Headers/Save-Data +--- +

{{HTTPSidebar}}

+ +

Save-Data请求头字段是一个布尔值,在请求中,表示客户端对减少数据使用量的偏好。 这可能是传输成本高,连接速度慢等原因。

+ +

值为on时,明确表示用户选择使用客户端简化数据使用模式,并且当与源进行通信时允许他们提供替代内容以减少下载的数据,例如较小的图像和视频资源,不同的标记和样式,禁用轮询和自动更新等。

+ +
+

提示: 禁用 HTTP/2 服务器端推送 ({{RFC("7540", "Server Push", "8.2")}})也可以用于减少数据下载。

+
+ +

语法

+ +
Save-Data: <sd-token>
+ +

指令

+ +
+
<sd-token>
+
一个数值,表示客户端是否想要选择简化数据使用模式。 on表示是,而off(默认值)表示不。
+
+ +

示例

+ +

请求头{{HTTPHeader("Vary")}} 确保正确缓存内容(例如,当Save-Data标头不再存在时,确保不从缓存向用户提供较低质量的图像[例如在从蜂窝网络切换到Wi-Fi后])

+ +

携带 Save-Data: on 请求头

+ +

请求示例:

+ +
GET /image.jpg HTTP/1.0
+Host: example.com
+Save-Data: on
+ +

响应示例:

+ +
HTTP/1.0 200 OK
+Content-Length: 102832
+Vary: Accept-Encoding, Save-Data
+Cache-Control: public, max-age=31536000
+Content-Type: image/jpeg
+
+[...]
+
+ +

不携带 Save-Data请求头

+ +

请求示例:

+ +
GET /image.jpg HTTP/1.0
+Host: example.com
+
+ +

响应示例:

+ +
HTTP/1.0 200 OK
+Content-Length: 481770
+Vary: Accept-Encoding, Save-Data
+Cache-Control: public, max-age=31536000
+Content-Type: image/jpeg
+
+[...]
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
draft-grigorik-http-client-hints-03, section 7: Save-DataHTTP Client Hints
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Save-Data")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/sec-fetch-dest/index.html b/files/zh-cn/web/http/headers/sec-fetch-dest/index.html new file mode 100644 index 0000000000..df8cfdff1f --- /dev/null +++ b/files/zh-cn/web/http/headers/sec-fetch-dest/index.html @@ -0,0 +1,133 @@ +--- +title: Sec-Fetch-Dest +slug: Web/HTTP/Headers/Sec-Fetch-Dest +translation_of: Web/HTTP/Headers/Sec-Fetch-Dest +--- +

{{HTTPSidebar}}{{Draft}}

+ +

Sec-Fetch-Dest 获取元数据标头指示请求的目的地,即如何使用获取的数据。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Fetch Metadata Request Header")}}
{{Glossary("Forbidden header name")}}yes, since it has prefix Sec-
{{Glossary("CORS-safelisted request header")}}
+ +

语法

+ +
Sec-Fetch-Dest: audio
+Sec-Fetch-Dest: audioworklet
+Sec-Fetch-Dest: document
+Sec-Fetch-Dest: embed
+Sec-Fetch-Dest: empty
+Sec-Fetch-Dest: font
+Sec-Fetch-Dest: image
+Sec-Fetch-Dest: manifest
+Sec-Fetch-Dest: nested-document
+Sec-Fetch-Dest: object
+Sec-Fetch-Dest: paintworklet
+Sec-Fetch-Dest: report
+Sec-Fetch-Dest: script
+Sec-Fetch-Dest: serviceworker
+Sec-Fetch-Dest: sharedworker
+Sec-Fetch-Dest: style
+Sec-Fetch-Dest: track
+Sec-Fetch-Dest: video
+Sec-Fetch-Dest: worker
+Sec-Fetch-Dest: xslt
+Sec-Fetch-Dest: audioworklet
+Sec-Fetch-Dest: audioworklet
+
+ +

+ +
+
audio
+
+
audioworklet
+
+
document
+
+
embed
+
+
empty
+
+
font
+
+
image
+
+
manifest
+
+
object
+
+
paintworklet
+
+
report
+
+
script
+
+
serviceworker
+
+
sharedworker
+
+
style
+
+
track
+
+
video
+
+
worker
+
+
xslt
+
+
nested-document
+
+
+ +

示例

+ +

TODO

+ +

规范说明

+ + + + + + + + + + + + + + +
规范标题
Fetch Metadata Request HeadersThe Sec-Fetch-Dest HTTP Request Header
+ +

浏览器兼容性

+ + + + + +

{{Compat("http.headers.Sec-Fetch-Dest")}}

+ +

参阅

+ + diff --git a/files/zh-cn/web/http/headers/sec-fetch-mode/index.html b/files/zh-cn/web/http/headers/sec-fetch-mode/index.html new file mode 100644 index 0000000000..489941ca22 --- /dev/null +++ b/files/zh-cn/web/http/headers/sec-fetch-mode/index.html @@ -0,0 +1,87 @@ +--- +title: Sec-Fetch-Mode +slug: Web/HTTP/Headers/Sec-Fetch-Mode +translation_of: Web/HTTP/Headers/Sec-Fetch-Mode +--- +

{{HTTPSidebar}}{{Draft}}

+ +

Sec-Fetch-Mode 获取元数据标头表明了一个请求的模式。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Fetch Metadata Request Header")}}
{{Glossary("Forbidden header name")}}只要包含前缀 Sec- 都属于应用程序禁止修改的HTTP消息头,用户代理保留全部对它们的控制权
{{Glossary("CORS-safelisted request header")}}
+ +

语法

+ +
Sec-Fetch-Mode: cors
+Sec-Fetch-Mode: navigate
+Sec-Fetch-Mode: nested-navigate
+Sec-Fetch-Mode: no-cors
+Sec-Fetch-Mode: same-origin
+Sec-Fetch-Mode: websocket
+
+ +

+ +
+
cors
+
+
navigate
+
+
nested-navigate
+
+
no-cors
+
+
same-origin
+
+
websocket
+
+
+ +

示例

+ +

暂时没有内容

+ +

规范

+ + + + + + + + + + + + + + +
SpecificationTitle
Fetch Metadata Request HeadersThe Sec-Fetch-Mode HTTP Request Header
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Sec-Fetch-Mode")}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/sec-fetch-site/index.html b/files/zh-cn/web/http/headers/sec-fetch-site/index.html new file mode 100644 index 0000000000..b5b2da4228 --- /dev/null +++ b/files/zh-cn/web/http/headers/sec-fetch-site/index.html @@ -0,0 +1,85 @@ +--- +title: Sec-Fetch-Site +slug: Web/HTTP/Headers/Sec-Fetch-Site +translation_of: Web/HTTP/Headers/Sec-Fetch-Site +--- +

{{HTTPSidebar}}{{Draft}}

+ +

Sec-Fetch-Site 获取元数据标头表明了一个请求发起者的来源与目标资源来源之间的关系。

+ + + + + + + + + + + + + + + + + + + + +
Header type{{Glossary("Fetch Metadata Request Header")}}
{{Glossary("Forbidden header name")}}只要包含前缀 Sec- 都属于应用程序禁止修改的HTTP消息头,用户代理保留全部对它们的控制权
{{Glossary("CORS-safelisted response header")}}
{{Glossary("CORS-safelisted request header")}}
+ +

语法

+ +
Sec-Fetch-Site: cross-site
+Sec-Fetch-Site: same-origin
+Sec-Fetch-Site: same-site
+Sec-Fetch-Site: none
+
+ +

+ +
+
cross-site
+
+
same-origin
+
+
same-site
+
+
none
+
这一请求与任意上下文无关,例如站点、源,或者框架。当用户采用某些方式发起请求时该值会被使用,例如:直接在地址栏中输入URL、打开一个书签,或者往浏览器窗口中拖放一个文件。
+
+ +

示例

+ +

暂时没有内容

+ +

规范

+ + + + + + + + + + + + + + +
SpecificationTitle
Fetch Metadata Request HeadersThe Sec-Fetch-Site HTTP Request Header
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Sec-Fetch-Site")}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/sec-fetch-user/index.html b/files/zh-cn/web/http/headers/sec-fetch-user/index.html new file mode 100644 index 0000000000..c5a81d04ce --- /dev/null +++ b/files/zh-cn/web/http/headers/sec-fetch-user/index.html @@ -0,0 +1,77 @@ +--- +title: Sec-Fetch-User +slug: Web/HTTP/Headers/Sec-Fetch-User +translation_of: Web/HTTP/Headers/Sec-Fetch-User +--- +

{{HTTPSidebar}}{{Draft}}

+ +

Sec-Fetch-User 获取元数据标头表明了一个导航请求是否由用户激活触发。

+ + + + + + + + + + + + + + + + +
Header type{{Glossary("Fetch Metadata Request Header")}}
{{Glossary("Forbidden header name")}}只要包含前缀 Sec- 都属于应用程序禁止修改的HTTP消息头,用户代理保留全部对它们的控制权
{{Glossary("CORS-safelisted request header")}}
+ +

语法

+ +
Sec-Fetch-User: ?0
+Sec-Fetch-User: ?1
+
+ +

+ +

该值是一个布尔结构化的标头。

+ +
+
?0
+
导航请求由用户激活触发。
+
?1
+
导航请求由用户激活以外的原因触发。
+
+ +

示例

+ +

暂时没有内容

+ +

规范

+ + + + + + + + + + + + + + +
SpecificationTitle
Fetch Metadata Request HeadersThe Sec-Fetch-User HTTP Request Header
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Sec-Fetch-User")}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/sec-websocket-accept/index.html b/files/zh-cn/web/http/headers/sec-websocket-accept/index.html new file mode 100644 index 0000000000..732cd27b29 --- /dev/null +++ b/files/zh-cn/web/http/headers/sec-websocket-accept/index.html @@ -0,0 +1,14 @@ +--- +title: Sec-WebSocket-Accept +slug: Web/HTTP/Headers/Sec-WebSocket-Accept +translation_of: Web/HTTP/Headers/Sec-WebSocket-Accept +--- +
{{HTTPSidebar}}{{Draft}}
+ +

Sec-WebSocket-Accept 头 (header) 用在websocket开放握手中。它会出现在响应头中。 也就是说,这是由服务器发送到客户端的头(header),用以告知服务器愿发起一个websocket连接。

+ +

Browser compatibility

+ + + +

{{Compat("http.headers.Sec-WebSocket-Accept")}}

diff --git a/files/zh-cn/web/http/headers/server-timing/index.html b/files/zh-cn/web/http/headers/server-timing/index.html new file mode 100644 index 0000000000..f755e58e2c --- /dev/null +++ b/files/zh-cn/web/http/headers/server-timing/index.html @@ -0,0 +1,87 @@ +--- +title: Server-Timing +slug: Web/HTTP/Headers/Server-Timing +tags: + - HTTP + - Performance + - Reference + - header +translation_of: Web/HTTP/Headers/Server-Timing +--- +

{{HTTPSidebar}}

+ +

Server-Timing 标头传达在一个给定请求-响应周期中的一个或多个参数和描述。它用于在用户浏览器的开发工具或 {{domxref("PerformanceServerTiming")}} 接口中显示任何后端服务器定时参数(例如,数据库读/写、CPU 时间、文件系统访问等)。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +

Server-Timing 头的语法允许您以不同方式传达参数:仅服务器参数名称,具有值的参数,具有值和描述的度参数以及具有描述的参数。

+ +

规范建议名称和描述应尽可能短(使用缩写并在可能的情况下省略可选值)以最小化 HTTP 开销。

+ +
// Single metric without value
+Server-Timing: missedCache
+
+// Single metric with value
+Server-Timing: cpu;dur=2.4
+
+// Single metric with description and value
+Server-Timing: cache;desc="Cache Read";dur=23.2
+
+// Two metrics with value
+Server-Timing: db;dur=53, app;dur=47.2
+
+// Server-Timing as trailer
+Trailer: Server-Timing
+--- response body ---
+Server-Timing: total;dur=123.4
+
+ +

保密性与安全性

+ +

Server-Timing 头可能会暴露潜在的敏感应用程序和基础设备信息。请考虑在服务器端控制何时向谁返回哪些参数信息。例如,您只能向经过身份验证的用户显示参数信息,而不能向公众显示。

+ +

PerformanceServerTiming 接口

+ +

除了在浏览器的开发工具中显示 Server-Timing 外,{{domxref("PerformanceServerTiming")}} 接口允许工具自动收集和处理 JavaScript 中的参数。此接口仅限于相同的源下使用,但您可以使用 {{HTTPHeader("Timing-Allow-Origin")}} 头指定允许访问服务器参数的域。该接口仅在某些浏览器中的安全上下文(HTTPS)中可用。

+ +

规范

+ + + + + + + + + + + + + + +
规范状态标题
{{SpecName('Server Timing','#the-server-timing-header-field', 'Server-Timing Header Field')}}{{Spec2("Server Timing")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Server-Timing")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/server/index.html b/files/zh-cn/web/http/headers/server/index.html new file mode 100644 index 0000000000..a46517b74b --- /dev/null +++ b/files/zh-cn/web/http/headers/server/index.html @@ -0,0 +1,71 @@ +--- +title: Server +slug: Web/HTTP/Headers/Server +tags: + - 安全 + - 服务器 + - 软件 + - 首部 +translation_of: Web/HTTP/Headers/Server +--- +
{{HTTPSidebar}}
+ +

Server 首部包含了处理请求的源头服务器所用到的软件相关信息。

+ +

应该避免使用过长或者过于详细的描述作为 Server 的值,因为这有可能泄露服务器的内部实现细节,有利于攻击者找到或者探测已知的安全漏洞。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Server: <product>
+
+ +

指令

+ +
+
<product>
+
处理请求的软件或者产品(或组件产品)的名称。
+
+ +

示例

+ +
Server: Apache/2.4.1 (Unix)
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7231", "Server", "7.4.2")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Server")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/set-cookie/index.html b/files/zh-cn/web/http/headers/set-cookie/index.html new file mode 100644 index 0000000000..a899ead69a --- /dev/null +++ b/files/zh-cn/web/http/headers/set-cookie/index.html @@ -0,0 +1,161 @@ +--- +title: Set-Cookie +slug: Web/HTTP/Headers/Set-Cookie +translation_of: Web/HTTP/Headers/Set-Cookie +--- +
{{HTTPSidebar}}
+ +

响应首部 Set-Cookie 被用来由服务器端向客户端发送 cookie。

+ +

更多信息请查阅这篇指南: HTTP cookies.

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Set-Cookie: <cookie-name>=<cookie-value>
+Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
+Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
+Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
+Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
+Set-Cookie: <cookie-name>=<cookie-value>; Secure
+Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly
+
+Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
+Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
+
+// Multiple directives are also possible, for example:
+Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly
+
+ +

指令

+ +
+
<cookie-name>=<cookie-value>
+
一个 cookie 开始于一个名称/值对: +
    +
  • <cookie-name> 可以是除了控制字符 (CTLs)、空格 (spaces) 或制表符 (tab)之外的任何 US-ASCII 字符。同时不能包含以下分隔字符: ( ) < > @ , ; : \ " /  [ ] ? = { }.
  • +
  • <cookie-value> 是可选的,如果存在的话,那么需要包含在双引号里面。支持除了控制字符(CTLs)、空格(whitespace)、双引号(double quotes)、逗号(comma)、分号(semicolon)以及反斜线(backslash)之外的任意 US-ASCII 字符。关于编码:许多应用会对 cookie 值按照URL编码(URL encoding)规则进行编码,但是按照 RFC 规范,这不是必须的。不过满足规范中对于 <cookie-value> 所允许使用的字符的要求是有用的。
  • +
  • __Secure- 前缀:以 __Secure- 为前缀的 cookie(其中连接符是前缀的一部分),必须与 secure 属性一同设置,同时必须应用于安全页面(即使用 HTTPS 访问的页面)。
  • +
  • __Host- 前缀: 以 __Host- 为前缀的 cookie,必须与 secure 属性一同设置,必须应用于安全页面(即使用 HTTPS 访问的页面),必须不能设置 domain 属性 (也就不会发送给子域),同时 path 属性的值必须为“/”。
  • +
+
+
Expires=<date> {{optional_inline}}
+
+

cookie 的最长有效时间,形式为符合 HTTP-date 规范的时间戳。参考 {{HTTPHeader("Date")}} 可以获取详细信息。如果没有设置这个属性,那么表示这是一个会话期 cookie 。一个会话结束于客户端被关闭时,这意味着会话期 cookie 在彼时会被移除。然而,很多Web浏览器支持会话恢复功能,这个功能可以使浏览器保留所有的tab标签,然后在重新打开浏览器的时候将其还原。与此同时,cookie 也会恢复,就跟从来没有关闭浏览器一样。

+
+
Max-Age=<non-zero-digit> {{optional_inline}}
+
在 cookie 失效之前需要经过的秒数。秒数为 0 或 -1 将会使 cookie 直接过期。一些老的浏览器(ie6、ie7 和 ie8)不支持这个属性。对于其他浏览器来说,假如二者 (指 ExpiresMax-Age) 均存在,那么 Max-Age 优先级更高。
+
Domain=<domain-value> {{optional_inline}}
+
指定 cookie 可以送达的主机名。假如没有指定,那么默认值为当前文档访问地址中的主机部分(但是不包含子域名)。与之前的规范不同的是,域名之前的点号会被忽略。假如指定了域名,那么相当于各个子域名也包含在内了。
+
Path=<path-value> {{optional_inline}}
+
指定一个 URL 路径,这个路径必须出现在要请求的资源的路径中才可以发送 Cookie 首部。字符  %x2F ("/") 可以解释为文件目录分隔符,此目录的下级目录也满足匹配的条件(例如,如果 path=/docs,那么 "/docs", "/docs/Web/" 或者 "/docs/Web/HTTP" 都满足匹配的条件)。
+
Secure {{optional_inline}}
+
一个带有安全属性的 cookie 只有在请求使用SSL和HTTPS协议的时候才会被发送到服务器。然而,保密或敏感信息永远不要在 HTTP cookie 中存储或传输,因为整个机制从本质上来说都是不安全的,比如前述协议并不意味着所有的信息都是经过加密的。 +

注意:非安全站点(http:)已经不能再在 cookie 中设置 secure 指令了(在Chrome 52+ and Firefox 52+ 中新引入的限制)。

+
+
HttpOnly {{optional_inline}}
+
设置了 HttpOnly 属性的 cookie 不能使用 JavaScript 经由  {{domxref("Document.cookie")}} 属性、{{domxref("XMLHttpRequest")}} 和  {{domxref("Request")}} APIs 进行访问,以防范跨站脚本攻击({{Glossary("XSS")}})。
+
SameSite=Strict
+ SameSite=Lax {{optional_inline}} {{experimental_inline}}
+
+

允许服务器设定一则 cookie 不随着跨域请求一起发送,这样可以在一定程度上防范跨站请求伪造攻击({{Glossary("CSRF")}})。

+
+
+ +

示例

+ + + +

会话期 cookies 将会在客户端关闭时被移除。 会话期 cookie 不设置 Expires 或 Max-Age 指令。注意浏览器通常支持会话恢复功能。

+ +
Set-Cookie: sessionid=38afes7a8; HttpOnly; Path=/
+ + + +

持久化 Cookie 不会在客户端关闭时失效,而是在特定的日期(Expires)或者经过一段特定的时间之后(Max-Age)才会失效。

+ +
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly
+
+ +

非法域

+ +

属于特定域的 cookie,假如域名不能涵盖原始服务器的域名,那么应该被用户代理拒绝。下面这个 cookie 假如是被域名为 originalcompany.com 的服务器设置的,那么将会遭到用户代理的拒绝:

+ +
Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk; Path=/; Expires=Wed, 30 Aug 2019 00:00:00 GMT
+ + + +

名称中包含 __Secure- 或 __Host- 前缀的 cookie,只可以应用在使用了安全连接(HTTPS)的域中,需要同时设置 secure 指令。另外,假如 cookie 以 __Host- 为前缀,那么 path 属性的值必须为 "/" (表示整个站点),且不能含有 domain 属性。对于不支持 cookie 前缀的客户端,无法保证这些附加的条件成立,所以 cookie 总是被接受的。

+ +
// 当响应来自于一个安全域(HTTPS)的时候,二者都可以被客户端接受
+Set-Cookie: __Secure-ID=123; Secure; Domain=example.com
+Set-Cookie: __Host-ID=123; Secure; Path=/
+
+// 缺少 Secure 指令,会被拒绝
+Set-Cookie: __Secure-id=1
+
+// 缺少 Path=/ 指令,会被拒绝
+Set-Cookie: __Host-id=1; Secure
+
+// 由于设置了 domain 属性,会被拒绝
+Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com
+
+ +

规范

+ + + + + + + + + + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("6265", "Set-Cookie", "4.1")}}HTTP State Management Mechanism
{{RFC("draft-ietf-httpbis-cookie-prefixes-00")}}Cookie Prefixes
{{RFC("draft-ietf-httpbis-cookie-same-site-00")}}Same-Site Cookies
{{RFC("draft-ietf-httpbis-cookie-alone-01")}}Strict Secure Cookies
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Set-Cookie")}}

+ +

关于兼容性的注意事项

+ + + +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/set-cookie/samesite/index.html b/files/zh-cn/web/http/headers/set-cookie/samesite/index.html new file mode 100644 index 0000000000..ea0c7f0be3 --- /dev/null +++ b/files/zh-cn/web/http/headers/set-cookie/samesite/index.html @@ -0,0 +1,114 @@ +--- +title: SameSite cookies +slug: Web/HTTP/Headers/Set-Cookie/SameSite +translation_of: Web/HTTP/Headers/Set-Cookie/SameSite +--- +
+ +

SameSite 是HTTP响应头 {{HTTPHeader("Set-Cookie")}} 的属性之一。它允许您声明该Cookie是否仅限于第一方或者同一站点上下文。

+ +

+ +

 SameSite 接受下面三个值:

+ +

Lax

+ +

Cookies允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是浏览器中的默认值。

+ +

Strict

+ +

Cookies只会在第一方上下文中发送,不会与第三方网站发起的请求一起发送。

+ +

None

+ +

Cookie将在所有上下文中发送,即允许跨域发送。

+ +

以前 None 是默认值,但最近的浏览器版本将 Lax 作为默认值,以便对某些类型的跨站请求伪造 ({{Glossary("CSRF")}}) 攻击具有相当强的防御能力。

+ +

使用 None 时,需在最新的浏览器版本中使用 Secure 属性。更多信息见下文。

+ +

针对常见警告信息的解决办法

+ +

SameSite=None 需要 Secure

+ +

如果没有设置 Secure 属性,控制台中可能会出现以下警告:

+ +
+

Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.
+ Cookie “myCookie” rejected because it has the “sameSite=none” attribute but is missing the “secure” attribute.

+
+ +

出现此警告是因为需要 SameSite=None 但未标记 Secure 的任何cookie都将被拒绝。

+ +
Set-Cookie: flavor=choco; SameSite=None
+ +

要解决此问题,必须将 Secure 属性添加到 SameSite=None cookies中。

+ +
Set-Cookie: flavor=choco; SameSite=None; Secure
+ +

Secure cookie仅通过HTTPS协议加密发送到服务器。请注意,不安全站点(http:)无法使用 Secure 指令设置cookies。

+ +

没有 SameSite 属性的Cookies默认为 SameSite=Lax

+ +

最新版本的现代浏览器为cookies的 SameSite 提供了更安全的默认值,因此控制台中可能会显示以下消息:

+ +
+

Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.
+ Cookie “myCookie” has “sameSite” policy set to “lax” because it is missing a “sameSite” attribute, and “sameSite=lax” is the default value for this attribute.

+
+ +

出现警告是因为未显式指定cookie的 SameSite 属性:

+ +
Set-Cookie: flavor=choco
+ +

虽然您可以依赖现代浏览器自动应用 SameSite=Lax,但您应该显式地指定它,以便清楚地传达您的意图,即要如何将 SameSite 属性应用到您的cookie。这也将改善跨浏览器的体验,因为并不是所有浏览器都默认为 Lax

+ +
Set-Cookie: flavor=choco; SameSite=Lax
+ +

示例

+ +
RewriteEngine on
+RewriteBase "/"
+RewriteCond "%{HTTP_HOST}"       "^example\.org$" [NC]
+RewriteRule "^(.*)"              "https://www.example.org/index.html" [R=301,L,QSA]
+RewriteRule "^(.*)\.ht$"         "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule;01;https://www.example.org;30/;SameSite=None;Secure]
+RewriteRule "^(.*)\.htm$"        "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule;02;https://www.example.org;30/;SameSite=None;Secure]
+RewriteRule "^(.*)\.html$"       "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule;03;https://www.example.org;30/;SameSite=None;Secure]
+[...]
+RewriteRule "^admin/(.*)\.html$" "admin/index.php?nav=$1 [NC,L,QSA,CO=RewriteRule;09;https://www.example.org:30/;SameSite=Strict;Secure]
+
+ +

规范

+ + + + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("6265", "Set-Cookie", "4.1")}}HTTP State Management Mechanism
draft-ietf-httpbis-rfc6265bis-05Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Set-Cookie", 5)}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/set-cookie2/index.html b/files/zh-cn/web/http/headers/set-cookie2/index.html new file mode 100644 index 0000000000..0129700100 --- /dev/null +++ b/files/zh-cn/web/http/headers/set-cookie2/index.html @@ -0,0 +1,72 @@ +--- +title: Set-Cookie2 +slug: Web/HTTP/Headers/Set-Cookie2 +tags: + - 废止 + - 首部 +translation_of: Web/HTTP/Headers/Set-Cookie2 +--- +
{{HTTPSidebar}} {{obsolete_header}}
+ +

Set-Cookie2 是一个响应首部,已废弃使用。它被服务器用来向客户端发送 cookie 数据,但是已经在协议中被标记为不赞成使用了。请使用 {{HTTPHeader("Set-Cookie")}}  将其代替。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Set-Cookie2: <cookie-name>=<cookie-value>
+Set-Cookie2: <cookie-name>=<cookie-value>; Comment=<value>
+Set-Cookie2: <cookie-name>=<cookie-value>; CommentURL=<http-url>
+Set-Cookie2: <cookie-name>=<cookie-value>; Discard
+Set-Cookie2: <cookie-name>=<cookie-value>; Domain=<domain-value>
+Set-Cookie2: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
+Set-Cookie2: <cookie-name>=<cookie-value>; Path=<path-value>
+Set-Cookie2: <cookie-name>=<cookie-value>; Port=<port-number>
+Set-Cookie2: <cookie-name>=<cookie-value>; Secure
+Set-Cookie2: <cookie-name>=<cookie-value>; Version=<version-number>
+
+// Multiple directives are also possible, for example:
+Set-Cookie2: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure
+
+// Multiple cookies are seperated by a comma
+Set-Cookie2: <cookie-name>=<cookie-value>, <cookie-name>=<cookie-value>, ...
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("2965", "Set-Cookie2")}}Historic specification of HTTP State Management Mechanism, obsoleted by {{RFC("6265")}}
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Set-Cookie2")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/sourcemap/index.html b/files/zh-cn/web/http/headers/sourcemap/index.html new file mode 100644 index 0000000000..e5a77ef625 --- /dev/null +++ b/files/zh-cn/web/http/headers/sourcemap/index.html @@ -0,0 +1,65 @@ +--- +title: SourceMap +slug: Web/HTTP/Headers/SourceMap +translation_of: Web/HTTP/Headers/SourceMap +--- +
{{HTTPSidebar}}
+ +

SourceMap HTTP 响应头链接生成的代码到一个 source map,使浏览器能够重建原始的资源然后显示在调试器里。

+ + + + + + + + + + + + +
Header 类型{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
SourceMap: <url>
+X-SourceMap: <url> (deprecated)
+
+ +

指令

+ +
+
<url>
+
指向一个source map文件的一个相对(于请求的URL)或者一个绝对的URL。
+
+ +

例子

+ +
SourceMap: /path/to/file.js.map
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
Draft documentSource Map Revision 3 Proposal
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.SourceMap")}}

+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/te/index.html b/files/zh-cn/web/http/headers/te/index.html new file mode 100644 index 0000000000..303c36c5d8 --- /dev/null +++ b/files/zh-cn/web/http/headers/te/index.html @@ -0,0 +1,88 @@ +--- +title: TE +slug: Web/HTTP/Headers/TE +tags: + - HTTP + - 参考 + - 头部 +translation_of: Web/HTTP/Headers/TE +--- +
{{HTTPSidebar}}
+ +

TE 请求型头部用来指定用户代理希望使用的传输编码类型。(可以将其非正式称为 Accept-Transfer-Encoding, 这个名称显得更直观一些)。

+ +

可以参考  {{HTTPHeader("Transfer-Encoding")}} 来获取更多关于传输编码的细节信息。值得注意的是, 支持 HTTP/1.1 协议的接收方一定可以处理 chunked 传输编码请求,所以没有必要一定在  TE 首部指定“chunked”关键字。然而,如果客户端将要接收编码在chunked包体里面的"trailer"信息的时候,主动指定该头部将会非常有用。

+ +

 

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
TE: compress
+TE: deflate
+TE: gzip
+TE: trailers
+
+// 多个指令, 使用 {{glossary("quality values", "quality value")}} 语法来表示优先级:
+TE: trailers, deflate;q=0.5
+
+ +

指令

+ +
+
compress
+
这个名称代表采用了  Lempel-Ziv-Welch (LZW) 压缩算法的传输编码格式。
+
deflate
+
这个名称代表采用了 zlib 结构的传输编码格式。
+
gzip
+
这个名称代表采用了  Lempel-Ziv coding (LZ77) 压缩算法,以及32位CRC校验的传输编码格式。
+
trailers
+
表示客户端期望在采用分块传输编码的响应中接收挂载字段。
+
q
+
+

当多种形式的传输编码格式都可以接受的时候,这个采用了质量价值语法的参数可以用来对不同的编码形式按照优先级进行排序。

+
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7230", "TE", "4.3")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.TE")}}

+ +

相关资料

+ + diff --git a/files/zh-cn/web/http/headers/timing-allow-origin/index.html b/files/zh-cn/web/http/headers/timing-allow-origin/index.html new file mode 100644 index 0000000000..4c34e30120 --- /dev/null +++ b/files/zh-cn/web/http/headers/timing-allow-origin/index.html @@ -0,0 +1,78 @@ +--- +title: Timing-Allow-Origin +slug: Web/HTTP/Headers/Timing-Allow-Origin +translation_of: Web/HTTP/Headers/Timing-Allow-Origin +--- +
{{HTTPSidebar}}
+ +

响应头Timing-Allow-Origin用于指定特定站点,以允许其访问Resource Timing API提供的相关信息,否则这些信息会由于跨源限制将被报告为零

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Timing-Allow-Origin: *
+Timing-Allow-Origin: <origin>[, <origin>]*
+
+ +

指令

+ +
+
*
+
服务器可以以“*”作为通配符,从而允许所有域都具有访问定时信息的权限。
+
<origin>
+
指定一个可以访问资源的URI。你也可以通过逗号隔开,指定多个URI。
+
+ +

示例

+ +

如需允许任何资源都可以看到的计时(timing)信息,你可以如此设置:

+ +
Timing-Allow-Origin: *
+
+ +

如需允许https://developer.mozilla.org查看你的计时信息,你可以设置:

+ +
Timing-Allow-Origin: https://developer.mozilla.org
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Resource Timing 3', '#timing-allow-origin', 'Timing-Allow-Origin')}}{{Spec2("Resource Timing 3")}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Timing-Allow-Origin")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/tk/index.html b/files/zh-cn/web/http/headers/tk/index.html new file mode 100644 index 0000000000..191dc634f2 --- /dev/null +++ b/files/zh-cn/web/http/headers/tk/index.html @@ -0,0 +1,91 @@ +--- +title: Tk +slug: Web/HTTP/Headers/Tk +tags: + - DNT + - 响应首部 + - 跟踪 +translation_of: Web/HTTP/Headers/Tk +--- +
{{HTTPSidebar}}
+ +

Tk 响应首部显示了对相应请求的跟踪情况。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Tk: !  (under construction)
+Tk: ?  (dynamic)
+Tk: G  (gateway or multiple parties)
+Tk: N  (not tracking)
+Tk: T  (tracking)
+Tk: C  (tracking with consent)
+Tk: P  (potential consent)
+Tk: D  (disregarding DNT)
+Tk: U  (updated)
+
+ +

指令

+ +
+
!
+
待建。源头服务器目前正在测试它对跟踪情况的通信功能。
+
?
+
不确定。源头服务器需要更多的信息来确定跟踪状态。
+
G
+
网关或多方。服务器扮演了网关的角色,与多方进行信息交换。
+
N
+
不跟踪。
+
T
+
跟踪。
+
C
+
在经过用户同意的情况下进行跟踪。源头服务器相信它事先得到了许可来跟踪用户、用户代理或者设备。
+
P
+
尚未接收到的许可。 源头服务器不能实时知道它是否获得了事先许可来跟踪用户、用户代理或者设备,但是会承诺不采用或者共享标记为 DNT:1 的数据,直到获得了事先许可,并进一步承诺将会在 48 小时之内对未经许可的资源进行删除或者对其进行消除身份识别信息处理。
+
D
+
忽略 DNT 首部。源头服务器不支持或者不愿意遵守用户代理发送的跟踪偏好。
+
U
+
更新。请求即将对应用于用户、用户代理或者设备的跟踪情况进行更新。
+
+ +

示例

+ +

声明不对相应资源进行跟踪的 Tk 首部,如下图所以:

+ +
Tk: N
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName('Tracking','#Tk-header-defn', 'Tk header field')}}{{Spec2("Tracking")}}Initial definition.
+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/trailer/index.html b/files/zh-cn/web/http/headers/trailer/index.html new file mode 100644 index 0000000000..21ef6c48fe --- /dev/null +++ b/files/zh-cn/web/http/headers/trailer/index.html @@ -0,0 +1,101 @@ +--- +title: Trailer +slug: Web/HTTP/Headers/Trailer +translation_of: Web/HTTP/Headers/Trailer +--- +
{{HTTPSidebar}}
+ +

Trailer 是一个响应首部,允许发送方在分块发送的消息后面添加额外的元信息,这些元信息可能是随着消息主体的发送动态生成的,比如消息的完整性校验,消息的数字签名,或者消息经过处理之后的最终状态等。

+ +
+

请求首部 {{HTTPHeader("TE")}} 需要设置trailers来允许挂载字段。

+
+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Trailer: header-names
+ +

指令

+ +
+
header-names
+
出现在分块信息挂载部分的消息首部。以下首部字段不允许出现: +
    +
  • 用于信息分帧的首部 (例如{{HTTPHeader("Transfer-Encoding")}} 和  {{HTTPHeader("Content-Length")}}),
  • +
  • 用于路由用途的首部 (例如 {{HTTPHeader("Host")}}),
  • +
  • 请求修饰首部 (例如控制类和条件类的,如{{HTTPHeader("Cache-Control")}},{{HTTPHeader("Max-Forwards")}},或者 {{HTTPHeader("TE")}}),
  • +
  • 身份验证首部 (例如 {{HTTPHeader("Authorization")}} 或者 {{HTTPHeader("Set-Cookie")}}),
  • +
  • {{HTTPHeader("Content-Encoding")}}, {{HTTPHeader("Content-Type")}}, {{HTTPHeader("Content-Range")}},以及 Trailer 自身。
  • +
+
+
+ +

示例

+ +

在分块传输编码中使用挂载(trailer)首部

+ +

在这个例子中, {{HTTPHeader("Expires")}} 首部出现在分块信息的结尾,作为挂载(trailer)首部。

+ +
HTTP/1.1 200 OK
+Content-Type: text/plain
+Transfer-Encoding: chunked
+Trailer: Expires
+
+7\r\n
+Mozilla\r\n
+9\r\n
+Developer\r\n
+7\r\n
+Network\r\n
+0\r\n
+Expires: Wed, 21 Oct 2015 07:28:00 GMT\r\n
+\r\n
+
+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7230", "Trailer", "4.4")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
{{RFC("7230", "Chunked trailer part", "4.1.2")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Trailer")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/transfer-encoding/index.html b/files/zh-cn/web/http/headers/transfer-encoding/index.html new file mode 100644 index 0000000000..b00b809cf2 --- /dev/null +++ b/files/zh-cn/web/http/headers/transfer-encoding/index.html @@ -0,0 +1,106 @@ +--- +title: Transfer-Encoding +slug: Web/HTTP/Headers/Transfer-Encoding +tags: + - 首部 +translation_of: Web/HTTP/Headers/Transfer-Encoding +--- +
{{HTTPSidebar}}
+ +

Transfer-Encoding 消息首部指明了将 {{Glossary("Entity header","entity")}} 安全传递给用户所采用的编码形式。

+ +

Transfer-Encoding 是一个逐跳传输消息首部,即仅应用于两个节点之间的消息传递,而不是所请求的资源本身。一个多节点连接中的每一段都可以应用不同的Transfer-Encoding 值。如果你想要将压缩后的数据应用于整个连接,那么请使用端到端传输消息首部  {{HTTPHeader("Content-Encoding")}} 。

+ +

当这个消息首部出现在 {{HTTPMethod("HEAD")}} 请求的响应中,而这样的响应没有消息体,那么它其实指的是应用在相应的  {{HTTPMethod("GET")}} 请求的应答的值。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Transfer-Encoding: chunked
+Transfer-Encoding: compress
+Transfer-Encoding: deflate
+Transfer-Encoding: gzip
+Transfer-Encoding: identity
+
+// Several values can be listed, separated by a comma
+Transfer-Encoding: gzip, chunked
+ +

指令

+ +
+
chunked
+
数据以一系列分块的形式进行发送。 {{HTTPHeader("Content-Length")}} 首部在这种情况下不被发送。。在每一个分块的开头需要添加当前分块的长度,以十六进制的形式表示,后面紧跟着 '\r\n' ,之后是分块本身,后面也是'\r\n' 。终止块是一个常规的分块,不同之处在于其长度为0。终止块后面是一个挂载(trailer),由一系列(或者为空)的实体消息首部构成。
+
compress
+
采用 Lempel-Ziv-Welch (LZW) 压缩算法。这个名称来自UNIX系统的 compress 程序,该程序实现了前述算法。
+ 与其同名程序已经在大部分UNIX发行版中消失一样,这种内容编码方式已经被大部分浏览器弃用,部分因为专利问题(这项专利在2003年到期)。
+
deflate
+
采用 zlib 结构 (在 RFC 1950 中规定),和 deflate 压缩算法(在 RFC 1951 中规定)。
+
gzip
+
表示采用  Lempel-Ziv coding (LZ77) 压缩算法,以及32位CRC校验的编码方式。这个编码方式最初由 UNIX 平台上的 gzip 程序采用。处于兼容性的考虑, HTTP/1.1 标准提议支持这种编码方式的服务器应该识别作为别名的 x-gzip 指令。
+
identity
+
用于指代自身(例如:未经过压缩和修改)。除非特别指明,这个标记始终可以被接受。
+
+ +

示例

+ +

分块编码

+ +

分块编码主要应用于如下场景,即要传输大量的数据,但是在请求在没有被处理完之前响应的长度是无法获得的。例如,当需要用从数据库中查询获得的数据生成一个大的HTML表格的时候,或者需要传输大量的图片的时候。一个分块响应形式如下:

+ +
HTTP/1.1 200 OK
+Content-Type: text/plain
+Transfer-Encoding: chunked
+
+7\r\n
+Mozilla\r\n
+9\r\n
+Developer\r\n
+7\r\n
+Network\r\n
+0\r\n
+\r\n
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7230", "Transfer-Encoding", "3.3.1")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Transfer-Encoding")}}

+ +

参见

+ + diff --git a/files/zh-cn/web/http/headers/upgrade-insecure-requests/index.html b/files/zh-cn/web/http/headers/upgrade-insecure-requests/index.html new file mode 100644 index 0000000000..4f85634b31 --- /dev/null +++ b/files/zh-cn/web/http/headers/upgrade-insecure-requests/index.html @@ -0,0 +1,72 @@ +--- +title: Upgrade-Insecure-Requests +slug: Web/HTTP/Headers/Upgrade-Insecure-Requests +tags: + - 升级机制 + - 安全性 + - 首部 +translation_of: Web/HTTP/Headers/Upgrade-Insecure-Requests +--- +
{{HTTPSidebar}}
+ +

Upgrade-Insecure-Requests 是一个请求首部,用来向服务器端发送信号,表示客户端优先选择加密及带有身份验证的响应,并且它可以成功处理 {{CSP("upgrade-insecure-requests")}} CSP 指令。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Upgrade-Insecure-Requests: 1
+ +

示例

+ +

客户端向服务器端发送信号表示它支持 {{CSP("upgrade-insecure-requests")}} 的升级机制:

+ +
GET / HTTP/1.1
+Host: example.com
+Upgrade-Insecure-Requests: 1
+ +

服务器现在可以重定向到这个站点的安全版本。在响应中可以添加一个 {{HTTPHeader("Vary")}}  首部,这样的话,响应就不会被缓存服务器提供给不支持升级机制的客户端了。

+ +
Location: https://example.com/
+Vary: Upgrade-Insecure-Requests
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{specName("Upgrade Insecure Requests", "#preference", "upgrade-insecure-requests")}}{{Spec2('Upgrade Insecure Requests')}}Initial definition.
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Upgrade-Insecure-Requests")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/user-agent/firefox/index.html b/files/zh-cn/web/http/headers/user-agent/firefox/index.html new file mode 100644 index 0000000000..f2360b3973 --- /dev/null +++ b/files/zh-cn/web/http/headers/user-agent/firefox/index.html @@ -0,0 +1,357 @@ +--- +title: Firefox用户代理字符串(user agent string)参考 +slug: Web/HTTP/Headers/User-Agent/Firefox +translation_of: Web/HTTP/Headers/User-Agent/Firefox +--- +
{{HTTPSidebar}}
+ +

此文档描述了 Firefox 4 及之后版本的 Firefox 浏览器,以及基于 Gecko 2.0 及以后版本的应用所使用的User Agent(user agent)。对于 Gecko 2.0 之后产生的变化,可参考 Firefox 4 中最终的 User Agent 值(博客文章)。也可以参考 检测 User Agent,以及这篇 Mozilla Hacks 博文:User Agent 检测的历史与操作清单

+ +

总体形式

+ +

Firefox的User Agent(用户代理)值可被拆分为以下四个部分:

+ +

Mozilla/5.0 (platform; rv:geckoversion) Gecko/geckotrail Firefox/firefoxversion

+ + + +
(如果你必须检测浏览器引擎,而不是去做特征检测的话)推荐使用"Gecko"与"rv:"字符串来检测基于 Gecko 的浏览器。因为一些浏览器的 UA 中也包含有"like Gecko"字段。
+ +

对于其他基于 Gecko 的产品,UA 字符串会符合以下两个规则中的一个,除了下面的描述外,其它字段与上面描述的意义相同。

+ +

Mozilla/5.0 (platform; rv:geckoversion) Gecko/geckotrail appname/appversion
+ Mozilla/5.0 (platform; rv:geckoversion) Gecko/geckotrail Firefox/firefoxversion appname/appversion

+ + + +

{{ h2_gecko_minversion("移动设备与平板设备的标注", "11.0") }}

+ +

User Agent(UA String)的platform部分,标明了 Firefox 是否运行在手机或平板尺寸的设备上。当Firefox运行在移动设备上时,UA 中的这个字段将包含Mobile;。当Firefox运行于平板设备时,UA 中的这个字段将包含Tablet;。例如:

+ +
Mozilla/5.0 (Android 4.4; Mobile; rv:41.0) Gecko/41.0 Firefox/41.0
+Mozilla/5.0 (Android 4.4; Tablet; rv:41.0) Gecko/41.0 Firefox/41.0
+ +
上述版本号并不对应当前版本,请避免基于此例子中的版本号。
+ +

推荐的判断设备尺寸的方法是使用 CSS 媒体查询(CSS Media Query)。但是,当你需要使用UA判断用户是否使用移动尺寸的设备,请查找"Mobi"(以兼容使用"Mobi"的 Opera 移动浏览器)。不要 假定"Android"字符串与设备尺寸存在关联。这样的话,在“Firefox在其它操作系统的移动尺寸设备上运行”或“使用Android的笔记本电脑”的情形下,你的代码才能正确运行。此外,请使用触摸检测以分辨设备是否支持触摸,不要使用"Mobi"或"Tablet",因为也有很多触摸设备并非移动设备或平板。

+ +
Firefox OS 设备的UA中不会有标明操作系统的字段,比如"Mozilla/5.0 (Mobile; rv:15.0) Gecko/15.0 Firefox/15.0"。因为其平台实为 Web。
+ +

Windows

+ +

除却安腾平台与 16 位平台,Windows 中的 User Agent 值有如下几类,其中 x.y 代表 Windows NT 版本,(例如:Windows NT 6.1)。

+ + + + + + + + + + + + + + + + + + + + + + +
Windows 版本Gecko User Agent
Windows NT on x86Mozilla/5.0 (Windows NT x.y; rv:10.0) Gecko/20100101 Firefox/10.0
Windows NT, Win64 on x64Mozilla/5.0 (Windows NT x.y; Win64; x64; rv:10.0) Gecko/20100101 Firefox/10.0
Windows NT, WOW64Mozilla/5.0 (Windows NT x.y; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0
+ +

Macintosh

+ +

下表中 x.y 为 Mac OS X 的版本(例如:Mac OS X 10.6)。

+ + + + + + + + + + + + + + + + + + +
Mac OS X 版本Gecko User Agent
Mac OS X on Intel x86 or x86_64Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:10.0) Gecko/20100101 Firefox/10.0
Mac OS X on PowerPCMozilla/5.0 (Macintosh; PPC Mac OS X x.y; rv:10.0) Gecko/20100101 Firefox/10.0
+ +

Linux

+ +

Linux 是一个高度分化的平台,下面给出了几个常见的例子。

+ + + + + + + + + + + + + + + + + + + + + + + + + + +
Linux 版本Gecko User Agent 值
Linux desktop, i686Mozilla/5.0 (X11; Linux i686; rv:10.0) Gecko/20100101 Firefox/10.0
Linux desktop, x86_64Mozilla/5.0 (X11; Linux x86_64; rv:10.0) Gecko/20100101 Firefox/10.0
Linux desktop, i686 running on x86_64Mozilla/5.0 (X11; Linux i686 on x86_64; rv:10.0) Gecko/20100101 Firefox/10.0
Nokia N900 Linux mobile, on the Fennec browserMozilla/5.0 (Maemo; Linux armv7l; rv:10.0) Gecko/20100101 Firefox/10.0 Fennec/10.0
+ +

Android (40版本及以下)

+ + + + + + + + + + + + + + + + + + + + +
设备类型Gecko User Agent 值
PhoneMozilla/5.0 (Android; Mobile; rv:40.0) Gecko/40.0 Firefox/40.0
TabletMozilla/5.0 (Android; Tablet; rv:40.0) Gecko/40.0 Firefox/40.0
+ +

Android (41版本及以上)

+ +

从41版本开始,Firefox Android 会在 platform 字段中包含 Android 版本号。为增加兼容性,如果浏览器在 Android 4 及以下版本的 Android 设备上运行,此字段会使用 4.4,Android 4.4 及以上版本的则会使用当前版本号。请注意,目前发布至不同版本的 Android 设备的 Gecko,是拥有相同兼容性的同一个 Gecko 的不同架构(ARMv7、x86、x86_64)编译版。

+ + + + + + + + + + + + + + + + + + +
设备类型Gecko User Agent 值
PhoneMozilla/5.0 (Android 4.4; Mobile; rv:41.0) Gecko/41.0 Firefox/41.0
TabletMozilla/5.0 (Android 4.4; Tablet; rv:41.0) Gecko/41.0 Firefox/41.0
+ +

Firefox OS

+ + + + + + + + + + + + + + + + + + + + + + + + +
设备类型Gecko User Agent 值
PhoneMozilla/5.0 (Mobile; rv:26.0) Gecko/26.0 Firefox/26.0
TabletMozilla/5.0 (Tablet; rv:26.0) Gecko/26.0 Firefox/26.0
TVMozilla/5.0 (TV; rv:44.0) Gecko/44.0 Firefox/44.0
Device-specificMozilla/5.0 (Mobile; nnnn; rv:26.0) Gecko/26.0 Firefox/26.0
+ +

具有设备特征的 User Agent 值

+ +

尽管 Mozilla 强烈反对,然而一些手机制造商仍然会在其设备的 User Agent 值中包含标明设备 ID 的字段。在这种情况下,Firefox OS的 User Agent 会与上表中所示的具有设备特征(Device-specific)的字符串保持一致,其中nnnn;代表设备制造商的设备代码(参见引导)。其中一些是以下几个形式: "NexusOne;","ZTEOpen;","Open C;"(另请注意,同样不鼓励在其中加入空格)。我们提供这些信息以辅助您设定 User Agent 判断逻辑,但 Mozilla 不鼓励从User Agent 值中检测设备ID。

+ +

这里有一个可以检测所有移动设备的JavaScript正则表达式,包含那些UA字符串中包含设备id的设备:

+ +
/mobi/i
+ +

其中 i 为大小写敏感的标记,而 mobi 则将匹配所有的移动设备。

+ +

Firefox OS 版本号

+ +

由于 Firefox OS 的版本号未被包含于User Agent 值中,我们可以通过User Agent 中的 Gecko 版本号来推断其版本信息。

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Firefox OS 版本号Gecko 版本号
1.0.118.0
1.118.1
1.226.0
1.328.0
1.430.0
2.032.0
2.134.0
2.237
2.544
+ +
+

通过查看 Mercurial 版本库名称,可以较容易地找出对应关系。其中以 mozilla-b2g 开头的发布便属于 Firefox OS,在其名字中包含了 Firefox OS 与 Gecko 的版本号。

+
+ +

Firefox OS 的版本号由4位数字组成:X.X.X.Y。前两位数字由 Mozilla 产品团度决定,表明是包含新特性的版本(如:v1.1, 1.2等)。第三位数字随安全更新而自增(约6周左右),第四位数字由 OEM 维护。

+ +

iOS 上的 Firefox

+ +

Firefox iOS 版使用 Safari 移动版的默认 User Agent 再加上 FxiOS/<version> 字段,与 iOS 上的 Chrome 标记自己的方式 一致。

+ + + + + + + + + + + + + + + + + + + + + + +
设备型号Firefox iOS User Agent 值
iPodMozilla/5.0 (iPod touch; CPU iPhone OS 8_3 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) FxiOS/1.0 Mobile/12F69 Safari/600.1.4
iPhoneMozilla/5.0 (iPhone; CPU iPhone OS 8_3 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) FxiOS/1.0 Mobile/12F69 Safari/600.1.4
iPadMozilla/5.0 (iPad; CPU iPhone OS 8_3 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) FxiOS/1.0 Mobile/12F69 Safari/600.1.4
+ +

Firefox Web 运行库(Web Runtime)

+ +

在 Firefox Web 运行库(Web Runtime)中,使用与桌面版 Firefox 一致的User Agent 值。

+ +

其他基于 Gecko 的浏览器

+ +

以下是不同平台下,一些基于 Gecko 的浏览器的User Agent 值样例。请注意,其中很多并未基于Gecko 2.0 发布。

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
浏览器Gecko User Agent 值
Firefox for Maemo (Nokia N900)Mozilla/5.0 (Maemo; Linux armv7l; rv:10.0.1) Gecko/20100101 Firefox/10.0.1 Fennec/10.0.1
Camino on MacMozilla/5.0 (Macintosh; Intel Mac OS X 10.5; rv:2.0.1) Gecko/20100101 Firefox/4.0.1 Camino/2.2.1
SeaMonkey on WindowsMozilla/5.0 (Windows NT 5.2; rv:10.0.1) Gecko/20100101 Firefox/10.0.1 SeaMonkey/2.7.1
SeaMonkey on MacMozilla/5.0 (Macintosh; Intel Mac OS X 10.5; rv:10.0.1) Gecko/20100101 Firefox/10.0.1 SeaMonkey/2.7.1
SeaMonkey on LinuxMozilla/5.0 (X11; Linux i686; rv:10.0.1) Gecko/20100101 Firefox/10.0.1 SeaMonkey/2.7.1
+ +

对于应用、供应商、扩展程序的注意事项

+ +

在 Firefox 4 和 Gecko 2.0 之前,扩展程序可以通过 general.useragent.extra.identifier 附加 User Agent 值,(参考 废弃的 User Agent 值参考 )。不过 {{ Bug(581008) }} 出现后,这种操作已被禁止。

+ +

在过去,特定的插件、扩展程序会在 User Agent 中添加字段,以表明他们被安装的来源网站。如果非要如此(请注意,这会减慢每个请求的发送速度),推荐的做法是 设定自定义 HTTP 请求头

+ +

参见

+ + + +
+

Comments to mozilla.dev.platform

diff --git a/files/zh-cn/web/http/headers/user-agent/index.html b/files/zh-cn/web/http/headers/user-agent/index.html new file mode 100644 index 0000000000..69041e1eed --- /dev/null +++ b/files/zh-cn/web/http/headers/user-agent/index.html @@ -0,0 +1,155 @@ +--- +title: User-Agent +slug: Web/HTTP/Headers/User-Agent +tags: + - 参考 + - 头标签 + - 浏览器 + - 用户代理 + - 首部 +translation_of: Web/HTTP/Headers/User-Agent +--- +
{{HTTPSidebar}}
+ +
+ +

User-Agent 首部包含了一个特征字符串,用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。

+ +
+

请阅读使用用户代理字段进行浏览器检测来了解为什么为不同的浏览器提供不同的页面或者服务通常不是一个好主意。

+
+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
User-Agent: <product> / <product-version> <comment>
+ +

+ +

浏览器通常使用的格式为:

+ +
User-Agent: Mozilla/<version> (<system-information>) <platform> (<platform-details>) <extensions>
+ +

指令

+ +
+
<product>
+
产品识别码。
+
<product-version>
+
产品版本号。
+
<comment>
+
零个或多个关于组成产品信息的注释。
+
+ +

Firefox UA 字符串

+ +

查阅 Firefox 用户代理字符串参考来获取更多关于基于 Firefox 和 Gecko 渲染引擎的用户代理字符串的细节信息。Firefox 的用户代理字符串自身可以分为四部分:

+ +

Mozilla/5.0 (platform; rv:geckoversion) Gecko/geckotrail Firefox/firefoxversion

+ + + +

示例

+ +
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
+Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0
+
+ +

Chrome UA 字符串

+ +

Chrome (或 Chromium/blink-based engines)用户代理字符串与 Firefox 的格式类似。为了兼容性,它添加了诸如 "KHTML, like Gecko" 和 "Safari" 这样的字符串。

+ +

示例

+ +
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
+ +

Opera UA 字符串

+ +

现在,Opera 也是一款基于 blink 引擎的浏览器,这也是为什么它的 UA 看起来(和 Chrome 的)几乎一样的原因,不过,它添加了一个 "OPR/<version>"。

+ +

示例

+ +
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36 OPR/38.0.2220.41
+ +

使用 Presto 引擎的、更老的 Opera 浏览器使用:

+ +
Opera/9.80 (Macintosh; Intel Mac OS X; U; en) Presto/2.2.15 Version/10.00
+Opera/9.60 (Windows NT 6.0; U; en) Presto/2.1.1
+ +

Safari UA 字符串

+ +

在这个示例中,这是 Safari 的移动版本的用户代理字符串。因为其中包含了单词 "Mobile" 。

+ +

示例

+ +
Mozilla/5.0 (iPhone; CPU iPhone OS 10_3_1 like Mac OS X) AppleWebKit/603.1.30 (KHTML, like Gecko) Version/10.0 Mobile/14E304 Safari/602.1
+ +

Internet Explorer UA 字符串

+ +

示例

+ +
Mozilla/5.0 (compatible; MSIE 9.0; Windows Phone OS 7.5; Trident/5.0; IEMobile/9.0)
+ +

爬虫和机器人的 UA 字符串

+ +

示例

+ +
Googlebot/2.1 (+http://www.google.com/bot.html)
+ +

规范

+ + + + + + + + + + + + +
规范标题
+

{{RFC("7231", "User-Agent", "5.5.3")}}

+ +

{{RFC(2616, "User-Agent", "14.43")}}

+
+

超文本传输协议 (HTTP/1.1): 语义和内容

+ +

超文本传输协议 -- HTTP/1.1

+
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.User-Agent")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/vary/index.html b/files/zh-cn/web/http/headers/vary/index.html new file mode 100644 index 0000000000..51f2c1bec6 --- /dev/null +++ b/files/zh-cn/web/http/headers/vary/index.html @@ -0,0 +1,81 @@ +--- +title: Vary +slug: Web/HTTP/Headers/Vary +translation_of: Web/HTTP/Headers/Vary +--- +
{{HTTPSidebar}}
+ +

Vary 是一个HTTP响应头部信息,它决定了对于未来的一个请求头,应该用一个缓存的回复(response)还是向源服务器请求一个新的回复。它被服务器用来表明在 content negotiation algorithm(内容协商算法)中选择一个资源代表的时候应该使用哪些头部信息(headers).

+ +

在响应状态码为 {{HTTPStatus("304")}} Not Modified  的响应中,也要设置 Vary 首部,而且要与相应的 {{HTTPStatus("200")}} OK 响应设置得一模一样。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Vary: *
+Vary: <header-name>, <header-name>, ...
+
+ +

说明

+ +
+
*
+
所有的请求都被视为唯一并且非缓存的,使用{{HTTPHeader("Cache-Control")}}: no-store,来实现则更适用,这样用于说明不存储该对象更加清晰。
+
<header-name>
+
 逗号分隔的一系列http头部名称,用于确定缓存是否可用。
+
+ +

例子

+ +

动态服务

+ +

哪种情况下使用 Vary: 对于User-Agent 头部信息,例如你提供给移动端的内容是不同的,可用防止你客户端误使用了用于桌面端的缓存。 并可帮助Google和其他搜索引擎来发现你的移动端版本的页面,同时告知他们不需要Cloaking

+ +
Vary: User-Agent
+ +

定义

+ + + + + + + + + + + + +
版本标题
{{RFC("7231", "Vary", "7.1.4")}}Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Vary")}}

+ +

更多关于浏览器兼容性:

+ + + +

更多

+ + diff --git a/files/zh-cn/web/http/headers/via/index.html b/files/zh-cn/web/http/headers/via/index.html new file mode 100644 index 0000000000..8fc87f6919 --- /dev/null +++ b/files/zh-cn/web/http/headers/via/index.html @@ -0,0 +1,80 @@ +--- +title: Via +slug: Web/HTTP/Headers/Via +tags: + - 代理 + - 循环请求 + - 首部 +translation_of: Web/HTTP/Headers/Via +--- +

{{HTTPSidebar}}

+ +

Via 是一个通用首部,是由代理服务器添加的,适用于正向和反向代理,在请求和响应首部中均可出现。这个消息首部可以用来追踪消息转发情况,防止循环请求,以及识别在请求或响应传递链中消息发送者对于协议的支持能力。

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}yes
+ +

语法

+ +
Via: [ <protocol-name> "/" ] <protocol-version> <host> [ ":" <port> ]
+or
+Via: [ <protocol-name> "/" ] <protocol-version> <pseudonym>
+
+ +

指令

+ +
+
<protocol-name>
+
可选。所使用的协议名称,如 "HTTP"。
+
<protocol-version>
+
所使用的协议版本号, 例如 "1.1"。
+
<host> and <port>
+
公共代理的URL及端口号。
+
<pseudonym>
+
内部代理的名称或别名。
+
+ +

示例

+ +
Via: 1.1 vegur
+Via: HTTP/1.1 GWA
+Via: 1.0 fred, 1.1 p.example.net
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7230", "Via", "5.7.1")}}Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
+ +

浏览器兼容性

+ +

The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.

+ +

{{Compat("http.headers.Via")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/warning/index.html b/files/zh-cn/web/http/headers/warning/index.html new file mode 100644 index 0000000000..1b2cdcd452 --- /dev/null +++ b/files/zh-cn/web/http/headers/warning/index.html @@ -0,0 +1,141 @@ +--- +title: Warning +slug: Web/HTTP/Headers/Warning +tags: + - 警告 + - 警告码 + - 通用首部 +translation_of: Web/HTTP/Headers/Warning +--- +
{{HTTPSidebar}}
+ +

Warning 是一个通用报文首部,包含报文当前状态可能存在的问题。在响应中可以出现多个 Warning 首部。

+ +

一般来说, Warning 首部可以应用于任何类型的报文。然而一部分警告码(warn-code)是为缓存代理服务器定制的,并且只可以应用在响应报文中。

+ + + + + + + + + + + + +
Header type{{Glossary("General header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
Warning: <warn-code> <warn-agent> <warn-text> [<warn-date>]
+
+ +

指令

+ +
+
<warn-code>
+
三位数字警告码。第一位数字表示 Warning 信息在验证之后是否需要从已存储的响应中删除。 +
    +
  • 1xx 警告码描述了关于当前响应的新鲜度或者验证状态的警告信息,并且将会在验证之后被缓存服务器删除。
  • +
  • +

    2xx 警告码描述了验证之后不会被修复的某些展现内容方面的警告信息,并且在验证之后不会被缓存服务器删除。

    +
  • +
+
+
<warn-agent>
+
+

添加到 Warning 首部的服务器或者软件的名称或者伪名称(当代理不可知的时候可以用 "-" 代替)。

+
+
<warn-text>
+
用来描述错误信息的警告文本。
+
<warn-date>
+
可选。假如多个 Warning 被发送,那么需包含一个与 {{HTTPHeader("Date")}} 首部相对应的日期字段。
+
+ +

警告码

+ +

由 iana.org 维护的 HTTP 警告码登记表规定了警告码的命名空间。

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
码值文字描述详细说明
110Response is Stale由缓存服务器提供的响应已过期(设置的失效时间已过)。
111Revalidation Failed 由于无法访问服务器,响应验证失败。
112Disconnected Operation缓存服务器断开连接。
113Heuristic Expiration如果缓存服务器采用启发式方法,将缓存的有效时间设定为24小时,而在该响应的年龄超过24小时时发送。
199Miscellaneous Warning任意的、未明确指定的警告信息。
214Transformation Applied由代理服务器添加,如果它对返回的展现内容进行了任何转换,比如改变了内容编码、媒体类型等。
299Miscellaneous Warning与199类似,只不过指代的是持久化警告。
+ +

示例

+ +
Warning: 110 anderson/1.3.37 "Response is stale"
+
+Date: Wed, 21 Oct 2015 07:28:00 GMT
+Warning: 112 - "cache down" "Wed, 21 Oct 2015 07:28:00 GMT"
+
+ +

规范

+ + + + + + + + + + + + +
SpecificationTitle
{{RFC("7234", "Warning", "5.5")}}Hypertext Transfer Protocol (HTTP/1.1): Caching
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.Warning")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/www-authenticate/index.html b/files/zh-cn/web/http/headers/www-authenticate/index.html new file mode 100644 index 0000000000..cbc9f6905d --- /dev/null +++ b/files/zh-cn/web/http/headers/www-authenticate/index.html @@ -0,0 +1,85 @@ +--- +title: WWW-Authenticate +slug: Web/HTTP/Headers/WWW-Authenticate +tags: + - HTTP + - HTTP Header + - Reference + - Response Header + - header +translation_of: Web/HTTP/Headers/WWW-Authenticate +--- +
{{HTTPSidebar}}
+ +

 HTTP WWW-Authenticate 响应头定义了使用何种验证方式去获取对资源的连接。

+ +

WWW-Authenticate header通常会和一个 {{HTTPStatus("401")}} Unauthorized 的响应一同被发送。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
WWW-Authenticate: <type> realm=<realm>
+
+ +

指令

+ +
+
<type>
+
Authentication type,一个通用类型 "Basic"。 IANA 维护了一个 list of Authentication schemes
+
realm=<realm>
+
一个保护区域的描述。如果未指定realm, 客户端通常显示一个格式化的主机名来替代。
+
charset=<charset>
+
当提交用户名和密码时,告知客户端服务器首选的编码方案。唯一的允许值是不区分大小写的字符串"UTF-8"。这与realm字符串的编码无关。
+
+ +

示例

+ +

通常的, 一个服务器响应包含一个像如下WWW-Authenticate的头信息:

+ +
WWW-Authenticate: Basic
+
+WWW-Authenticate: Basic realm="Access to the staging site"
+
+ +

作为一个例子,可以查看 HTTP authentication 页面,了解如何配置Apache和nginx服务器来使用HTTP basic authentication密码保护你的站点。

+ +

规范

+ + + + + + + + + + + + + + + + +
SpecificationTitle
{{RFC("7235", "WWW-Authenticate", "4.1")}}HTTP/1.1: Authentication
{{RFC("7617")}}The 'Basic' HTTP Authentication Scheme
+ +

另请参阅

+ + diff --git a/files/zh-cn/web/http/headers/x-content-type-options/index.html b/files/zh-cn/web/http/headers/x-content-type-options/index.html new file mode 100644 index 0000000000..14143d126b --- /dev/null +++ b/files/zh-cn/web/http/headers/x-content-type-options/index.html @@ -0,0 +1,83 @@ +--- +title: X-Content-Type-Options +slug: Web/HTTP/Headers/X-Content-Type-Options +tags: + - MIME嗅探 + - 响应首部 + - 超文本传输协议 + - 首部 +translation_of: Web/HTTP/Headers/X-Content-Type-Options +--- +
{{HTTPSidebar}}
+ +

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 {{HTTPHeader("Content-Type")}} 首部中对  MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

+ +

该消息头最初是由微软在 IE 8 浏览器中引入的,提供给网站管理员用作禁用内容嗅探的手段,内容嗅探技术可能会把不可执行的 MIME 类型转变为可执行的 MIME 类型。在此之后,其他浏览器也相继引入了这个消息头,尽管它们的 MIME 嗅探算法没有那么有侵略性。

+ +

安全测试人员通常期望站点设置了该消息头。

+ +

注意: nosniff 只应用于 "script" 和 "style" 两种类型。事实证明,将其应用于图片类型的文件会导致与现有的站点冲突

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
X-Content-Type-Options: nosniff
+
+ +

指令

+ +
+
nosniff
+
下面两种情况的请求将被阻止: +
    +
  • 请求类型是"style" 但是 MIME 类型不是 "text/css",
  • +
  • 请求类型是"script" 但是 MIME 类型不是  JavaScript MIME 类型
  • +
+
+
+ +

规范

+ + + + + + + + + + + + + + +
SpecificationStatusComment
{{SpecName("Fetch", "#x-content-type-options-header", "X-Content-Type-Options definition")}}{{Spec2("Fetch")}}Initial definition
+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.X-Content-Type-Options")}}

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/x-forwarded-for/index.html b/files/zh-cn/web/http/headers/x-forwarded-for/index.html new file mode 100644 index 0000000000..01399018d2 --- /dev/null +++ b/files/zh-cn/web/http/headers/x-forwarded-for/index.html @@ -0,0 +1,72 @@ +--- +title: X-Forwarded-For +slug: Web/HTTP/Headers/X-Forwarded-For +tags: + - 请求首部 + - 转发 + - 首部 +translation_of: Web/HTTP/Headers/X-Forwarded-For +--- +
{{HTTPSidebar}}
+ +

X-Forwarded-For (XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器,可以被用来获取最初发起请求的客户端的IP地址,这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下,服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如果想要获得最初发起请求的客户端的IP地址的话,那么 X-Forwarded-For 就派上了用场。

+ +

这个消息首部会被用来进行调试和统计,以及生成基于位置的定制化内容,按照设计的目的,它会暴露一定的隐私和敏感信息,比如客户端的IP地址。所以在应用此消息首部的时候,需要将用户的隐私问题考虑在内。

+ +

HTTP 协议中的 {{HTTPHeader("Forwarded")}} 是这个消息首部的标准化版本。

+ +

X-Forwarded-For 也是一个电子邮件相关协议中用到的首部,用来表示一封电子邮件是从其他账户转发过来的。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
X-Forwarded-For: <client>, <proxy1>, <proxy2>
+
+ +

指令

+ +
+
<client>
+
客户端的IP地址。
+
<proxy1>, <proxy2>
+
如果一个请求经过了多个代理服务器,那么每一个代理服务器的IP地址都会被依次记录在内。也就是说,最右端的IP地址表示最近通过的代理服务器,而最左端的IP地址表示最初发起请求的客户端的IP地址。
+
+ +

示例

+ +
X-Forwarded-For: 2001:db8:85a3:8d3:1319:8a2e:370:7348
+
+X-Forwarded-For: 203.0.113.195
+
+X-Forwarded-For: 203.0.113.195, 70.41.3.18, 150.172.238.178
+
+ +

其他非标准形式:

+ +
# Used for some Google services
+X-ProxyUser-Ip: 203.0.113.19
+ +

规范

+ +

不属于任何一份既有规范。这个消息首部的标准版本是  {{HTTPHeader("Forwarded")}}.

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/x-forwarded-host/index.html b/files/zh-cn/web/http/headers/x-forwarded-host/index.html new file mode 100644 index 0000000000..22e93c14ca --- /dev/null +++ b/files/zh-cn/web/http/headers/x-forwarded-host/index.html @@ -0,0 +1,64 @@ +--- +title: X-Forwarded-Host +slug: Web/HTTP/Headers/X-Forwarded-Host +tags: + - 代理 + - 请求首部 + - 负载均衡 + - 超文本传输协议 + - 转发 + - 首部 +translation_of: Web/HTTP/Headers/X-Forwarded-Host +--- +
{{HTTPSidebar}}
+ +

The X-Forwarded-Host (XFH) 是一个事实上的标准首部,用来确定客户端发起的请求中使用  {{HTTPHeader("Host")}}  指定的初始域名。

+ +

反向代理(如负载均衡服务器、CDN等)的域名或端口号可能会与处理请求的源头服务器有所不同,在这种情况下,X-Forwarded-Host 可以用来确定哪一个域名是最初被用来访问的。

+ +

这个消息首部会被用来进行调试和统计,以及生成基于位置的定制化内容,按照设计的目的,它会暴露一定的隐私和敏感信息,比如客户端的IP地址。所以在应用此消息首部的时候,需要将用户的隐私问题考虑在内。

+ +

HTTP 协议中的  {{HTTPHeader("Forwarded")}}  是这个消息首部的标准化版本。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
X-Forwarded-Host: <host>
+
+ +

指令

+ +
+
<host>
+
被转发的服务器的域名。
+
+ +

示例

+ +
X-Forwarded-Host: id42.example-cdn.com
+
+ +

规范

+ +

不属于任何一份既有规范。这个消息首部的标准版本是 {{HTTPHeader("Forwarded")}}.

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/x-forwarded-proto/index.html b/files/zh-cn/web/http/headers/x-forwarded-proto/index.html new file mode 100644 index 0000000000..5e3b9e037e --- /dev/null +++ b/files/zh-cn/web/http/headers/x-forwarded-proto/index.html @@ -0,0 +1,65 @@ +--- +title: X-Forwarded-Proto +slug: Web/HTTP/Headers/X-Forwarded-Proto +tags: + - HTTP首部 + - 请求首部 + - 非标准化 +translation_of: Web/HTTP/Headers/X-Forwarded-Proto +--- +
{{HTTPSidebar}}
+ +

X-Forwarded-Proto (XFP) 是一个事实上的标准首部,用来确定客户端与代理服务器或者负载均衡服务器之间的连接所采用的传输协议(HTTP 或 HTTPS)。在服务器的访问日志中记录的是负载均衡服务器与服务器之间的连接所使用的传输协议,而非客户端与负载均衡服务器之间所使用的协议。为了确定客户端与负载均衡服务器之间所使用的协议, X-Forwarded-Proto 就派上了用场。

+ +

HTTP 协议中的 {{HTTPHeader("Forwarded")}}  是这个消息首部的标准化版本。

+ + + + + + + + + + + + +
Header type{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
X-Forwarded-Proto: <protocol>
+
+ +

指令

+ +
+
<protocol>
+
经过转发的传输协议 (http 或 https)。
+
+ +

示例

+ +
X-Forwarded-Proto: https
+ +

其他非标准形式:

+ +
# Microsoft
+Front-End-Https: on
+
+X-Forwarded-Protocol: https
+X-Forwarded-Ssl: on
+X-Url-Scheme: https
+
+ +

规范

+ +

不属于任何一份既有规范。这个消息首部的标准版本是 {{HTTPHeader("Forwarded")}}.

+ +

相关内容

+ + diff --git a/files/zh-cn/web/http/headers/x-xss-protection/index.html b/files/zh-cn/web/http/headers/x-xss-protection/index.html new file mode 100644 index 0000000000..2c7bcc3086 --- /dev/null +++ b/files/zh-cn/web/http/headers/x-xss-protection/index.html @@ -0,0 +1,84 @@ +--- +title: X-XSS-Protection +slug: Web/HTTP/Headers/X-XSS-Protection +tags: + - X-XSS-Protection + - 跨站脚本攻击 +translation_of: Web/HTTP/Headers/X-XSS-Protection +--- +
{{HTTPSidebar}}
+ +

HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 ({{Glossary("XSS")}})时,浏览器将停止加载页面。若网站设置了良好的 {{HTTPHeader("Content-Security-Policy")}} 来禁用内联 JavaScript ('unsafe-inline'),现代浏览器不太需要这些保护, 但其仍然可以为尚不支持 {{Glossary("CSP")}} 的旧版浏览器的用户提供保护。

+ + + + + + + + + + + + +
Header type{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}no
+ +

语法

+ +
X-XSS-Protection: 0
+X-XSS-Protection: 1
+X-XSS-Protection: 1; mode=block
+X-XSS-Protection: 1; report=<reporting-uri>
+
+ +
+
0
+
禁止XSS过滤。
+
1
+
启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
+
1;mode=block
+
启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
+
1; report=<reporting-URI>  (Chromium only)
+
启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP {{CSP("report-uri")}}指令的功能发送违规报告。
+
+ +

范例

+ +

当检测到XSS攻击时阻止页面加载:

+ +
X-XSS-Protection: 1;mode=block
+ +

PHP

+ +
header("X-XSS-Protection: 1; mode=block");
+ +

Apache (.htaccess)

+ +
<IfModule mod_headers.c>
+  Header set X-XSS-Protection "1; mode=block"
+</IfModule>
+ +

Nginx

+ +
add_header "X-XSS-Protection" "1; mode=block";
+ +

规范

+ +

不属于任何一个规范或草案的一部分。

+ +

浏览器兼容性

+ + + +

{{Compat("http.headers.X-XSS-Protection")}}

+ +

了解更多

+ + -- cgit v1.2.3-54-g00ecf