HTTP报文
报文是如何流动的
HTTP报文是在HTTP应用程序之间发送的数据块。这些数据块以一些文本形式的元信息(meta-information)开头,这些信息描述了报文的内容及含义,后面跟着可选的数据部分。这些报文在客户端、服务器和代理之间流动。术语"流入"、"流出"、"上游"及"下游"都是用来描述报文方向的。
HTTP使用术语流入(inbound)和流出(outbound)来描述事务处理(transaction)的方向。报文流入源端服务器,工作完成之后,会流回用户的Agent代理中。不管是请求报文还是响应报文,所有报文都会向下游(downstream)流动。所有报文的发送者都在接收者的上游(upstream)。
HTTP报文的语法和组成部分
HTTP报文是简单的格式化数据块。每条报文都包含一条来自客户端的请求,或者一条来自服务器的响应。它们由三个部分组成:对报文进行描述的起始行(start line)、包含属性的**首部(header)块,以及可选的、包含数据的主体(body)**部分。
起始行和首部就是由行分隔的ASCII文本。每行都以一个由两个字符组成的行终止序列作为结束,其中包括一个回车符和一个换行符。这个行终止序列可以写做CRLF。需要指出的是,尽管HTTP规范中说明应该用CRLF来表示行终止,但稳健的应用程序也应该接受单个换行符作为行的终止。有些老的,或不完整的HTTP应用程序并不总是既发送回车符,又发送换行符。实体的主体或报文的主体(或者就称为主体)是一个可选的数据块。与起始行和首部不同的是,主体中可以包含文本或二进制数据,也可以为空。
语法
请求和响应报文之间的区别:所有的HTTP报文都可以分为两类:请求报文(request message)和响应报文(response message)。请求报文会向Web服务器请求一个动作。响应报文会将请求的结果返回给客户端。请求和响应报文的基本报文结构相同。
# 请求报文<method> <request-URL> <version><headers><entity-body># 响应报文<version> <status> <reason-phrase><headers><entity-body># 只有起始行的语法有所不同复制代码
方法(method):客户端希望服务器对资源执行的动作。是一个单独的词,比如GET、HEAD或POST等。请求URL(request-URL):命名了所请求资源,或者URL路径组件的完整URL。如果直接与服务器进行对话,只要URL的路径组件是资源的绝对路径,通常就不会有什么问题——服务器可以假定自己是URL的主机 / 端口。版本(version):报文所使用的 HTTP 版本,其中主要版本号(major)和次要版本号(minor)都是整数。状态码(status-code):这三位数字描述了请求过程中所发生的情况。每个状态码的第一位数字都用于描述状态的一般类别("成功"、"出错"等)。原因短语(reason-phrase):数字状态码的可读版本,包含行终止序列之前的所有文本。原因短语只对人类有意义,因此,比如说,尽管响应行"HTTP/1.0 200 NOT OK"和"HTTP/1.0 200 OK"中原因短语的含义不同,但同样都会被当作成功指示处理。首部(header):可以有零个或多个首部,每个首部都包含一个名字,后面跟着一个冒号(:),然后是一个可选的空格,接着是一个值,最后是一个CRLF。首部是由一个空行(CRLF)结束的,表示了首部列表的结束和实体主体部分的开始。有些 HTTP 版本,比如HTTP/1.1,要求有效的请求或响应报文中必须包含特定的首部。实体的主体部分(entity-body):实体的主体部分包含一个由任意数据组成的数据块。并不是所有的报文都包含实体的主体部分,有时,报文只是以一个CRLF结束。
注意:一组HTTP首部总是应该以一个空行(仅CRLF)结束,甚至即使没有首部和实体的主体部分也应如此。但由于历史原因,很多客户端和服务器都在没有实体的主体部分时,(错误地)省略了最后的CRLF。为了与这些流行但不符合规则的实现进行互通,客户端和服务器都应该接受那些没有最后那个CRLF的报文。
起始行
所有的HTTP报文都以一个起始行作为开始。请求报文的起始行说明了要做些什么。响应报文的起始行说明发生了什么。
请求行:请求报文请求服务器对资源进行一些操作。请求报文的起始行,或称为请求行,包含了一个方法和一个请求URL,这个方法描述了服务器应该执行的操作,请求URL描述了要对哪个资源执行这个方法。请求行中还包含 HTTP 的版本,用来告知服务器,客户端使用的是哪种HTTP。所有这些字段都由空格符分隔。在 HTTP/1.0 之前,并不要求请求行中包含 HTTP 版本号。响应行:响应报文承载了状态信息和操作产生的所有结果数据,将其返回给客户端。响应报文的起始行,或称为响应行,包含了响应报文使用的HTTP版本、数字状态码,以及描述操作状态的文本形式的原因短语。所有这些字段都由空格符进行分隔。在 HTTP/1.0 之前,并不要求在响应中包含响应行。方法:请求的起始行以方法作为开始,方法用来告知服务器要做些什么。HTTP规范中定义了一组常用的请求方法。比如,GET方法负责从服务器获取一个文档,POST方法会向服务器发送需要处理的数据,OPTIONS方法用于确定Web服务器的一般功能,或者Web服务器处理特定资源的能力。注意,有些方法的请求报文中有主体,有些则是无主体的请求。并不是所有服务器都实现了所有的7种方法。而且,由于HTTP设计得易于扩展,所以除了这些方法之外,其他服务器可能还会实现一些自己的请求方法。这些附加的方法是对 HTTP 规范的扩展,因此被称为扩展方法。状态码:方法是用来告诉服务器做什么事情的,状态码则用来告诉客户端,发生了什么事情。状态码位于响应的起始行中。客户端向一个HTTP服务器发送请求报文时,会发生很多事情。幸运的话,请求会成功完成。但你不会总是那么幸运的。服务器可能会告诉你无法找到所请求的资源,你没有访问资源的权限,或者资源被移到了其他地方。状态码是在每条响应报文的起始行中返回的。会返回一个数字状态和一个可读的状态。数字码便于程序进行差错处理,而原因短语则更便于人们理解。可以通过三位数字代码对不同状态码进行分类。200到299之间的状态码表示成功。300到399之间的代码表示资源已经被移走了。400到499之间的代码表示客户端的请求出错了。500到599之间的代码表示服务器出错了。当前的HTTP版本只为每类状态定义了几个代码。随着协议的发展,HTTP规范中会正式地定义更多的状态码。如果收到了不认识的状态码,可能是有人将其作为当前协议的扩展定义的。可以根据其所处范围,将它作为那个类别中一个普通的成员来处理。原因短语:原因短语是响应起始行中的最后一个组件。它为状态码提供了文本形式的解释。原因短语和状态码是成对出现的。原因短语是状态码的可读版本,应用程序开发者将其传送给用户,用以说明在请求期间发生了什么情况。HTTP规范并没有提供任何硬性规定,要求原因短语以何种形式出现。版本号:版本号会以"HTTP/x.y"的形式出现在请求和响应报文的起始行中。为HTTP应用程序提供了一种将自己所遵循的协议版本告知对方的方式。使用版本号的目的是为使用HTTP的应用程序提供一种线索,以便互相了解对方的能力和报文格式。在与使用"HTTP 1.1"的应用程序进行通信的"HTTP 1.2"应用程序应该知道,它不能使用任何新的1.2特性,因为使用老版本协议的应用程序很可能无法实现这些特性。版本号说明了应用程序支持的最高HTTP版本。但"HTTP/1.0"应用程序在解释包含"HTTP/1.1"的响应时,会认为这个响应是个1.1响应,而实际上这只是响应应用程序所使用的协议等级,在这些情况下,版本号会在应用程序之间造成误解 。
首部
跟在起始行后面的就是零个、一个或多个HTTP首部字段。HTTP首部字段向请求和响应报文中添加了一些附加信息。本质上来说,它们只是一些键/值对的列表。
首部分类:HTTP规范定义了几种首部字段。应用程序也可以随意发明自己所用的首部。每个HTTP首部都有一种简单的语法:名字后面跟着冒号(:),然后跟上可选的空格,再跟上字段值,最后是一个CRLF。HTTP 首部可以分为以下几类。
通用首部:既可以出现在请求报文中,也可以出现在响应报文中。请求首部:提供更多有关请求的信息。响应首部:提供更多有关响应的信息。实体首部:描述主体的长度和内容,或者资源自身。扩展首部:规范中没有定义的新首部。
首部延续行:将长的首部行分为多行可以提高可读性,多出来的每行前面至少要有一个空格或制表符(tab)。
实体的主体部分
HTTP报文的第三部分是可选的实体主体部分。实体的主体是HTTP报文的负荷。就是HTTP要传输的内容。HTTP报文可以承载很多类型的数字数据:图片、视频、HTML文档、软件应用程序、信用卡事务、电子邮件等。
请求报文支持的各种功能(方法)
注意:并不是每个服务器都实现了所有的方法。如果一台服务器要与"HTTP 1.1"兼容,那么只要为其资源实现GET方法和HEAD方法就可以了。即使服务器实现了所有这些方法,这些方法的使用很可能也是受限的。例如,支持 DELETE 方法或 PUT 方法的服务器可能并不希望任何人都能够删除或存储资源。这些限制通常都是在服务器的配置中进行设置的,因此会随着站点和服务器的不同而有所不同。
安全的方法:HTTP 定义了一组被称为安全方法的方法。GET方法和HEAD方法都被认为是安全的,这就意味着使用GET或HEAD方法的HTTP请求都不会产生什么动作。不产生动作,在这里意味着HTTP请求不会在服务器上产生什么结果。安全方法并不一定是什么动作都不执行的(实际上,这是由Web开发者决定的)。使用安全方法的目的就是当使用可能引发某一动作的不安全方法时,允许HTTP应用程序开发者通知用户。
GET:GET是最常用的方法。通常用于请求服务器发送某个资源。HEAD:HEAD方法与GET方法的行为很类似,但服务器在响应中只返回首部。不会返回实体的主体部分。这就允许客户端在未获取实际资源的情况下,对资源的首部进行检查。服务器开发者必须确保返回的首部与GET请求所返回的首部完全相同。使用HEAD,可以:在不获取资源的情况下了解资源的情况(比如,判断其类型);通过查看响应中的状态码,看看某个对象是否存在;通过查看首部,测试资源是否被修改了。PUT:与GET从服务器读取文档相反,PUT方法会向服务器写入文档。有些发布系统允许用户创建Web页面,并用PUT直接将其安装到Web服务器上去。PUT方法的语义就是让服务器用请求的主体部分来创建一个由所请求的URL命名的新文档,或者,如果那个URL已经存在的话,就用这个主体来替代它。因为PUT允许用户对内容进行修改,所以很多Web服务器都要求在执行PUT之前,用密码登录。POST:POST方法起初是用来向服务器输入数据的。实际上,通常会用它来支持HTML的表单。表单中填好的数据通常会被送给服务器,然后由服务器将其发送到它要去的地方(比如,送到一个服务器网关程序中,然后由这个程序对其进行处理)。TRACE:客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的HTTP请求。TRACE方法允许客户端在最终将请求发送给服务器时,看看它变成了什么样子。TRACE请求会在目的服务器端发起一个"环回"诊断。行程最后一站的服务器会弹回一条TRACE响应,并在响应主体中携带它收到的原始请求报文。这样客户端就可以查看在所有中间HTTP应用程序组成的请求/响应链上,原始报文是否,以及如何被毁坏或修改过。TRACE方法主要用于诊断;也就是说,用于验证请求是否如愿穿过了请求/响应链。它也是一种很好的工具,可以用来查看代理和其他应用程序对用户请求所产生效果。尽管TRACE可以很方便地用于诊断,但它确实也有缺点,它假定中间应用程序对各种不同类型请求(不同的方法——GET、HEAD、POST等)的处理是相同的。很多HTTP应用程序会根据方法的不同做出不同的事情——比如,代理可能会将POST请求直接发送给服务器,而将GET请求发送给另一个HTTP应用程序(比如Web缓存)。TRACE并不提供区分这些方法的机制。通常,中间应用程序会自行决定对TRACE请求的处理方式。TRACE请求中不能带有实体的主体部分。TRACE响应的实体主体部分包含了响应服务器收到的请求的精确副本。OPTIONS:OPTIONS方法请求Web服务器告知其支持的各种功能。可以询问服务器通常支持哪些方法,或者对某些特殊资源支持哪些方法。(有些服务器可能只支持对一些特殊类型的对象使用特定的操作)。这为客户端应用程序提供了一种手段,使其不用实际访问那些资源就能判定访问各种资源的最优方式。DELETE:顾名思义,DELETE方法所做的事情就是请服务器删除请求URL所指定的资源。但是,客户端应用程序无法保证删除操作一定会被执行。因为HTTP规范允许服务器在不通知客户端的情况下撤销请求。
扩展方法:HTTP被设计成字段可扩展的,这样新的特性就不会使老的软件失效了。扩展方法指的就是没有在"HTTP/1.1"规范中定义的方法。服务器会为它所管理的资源实现一些HTTP服务,这些方法为开发者提供了一种扩展这些HTTP服务能力的手段。并不是所有的扩展方法都是在正式规范中定义的,认识到这一点很重要。如果你定义了一个扩展方法,很可能大部分HTTP应用程序都无法理解。同样,你的HTTP应用程序也可能会遇到一些其他应用程序在用的,而它并不理解的扩展方法。在这些情况下,最好对扩展方法宽容一些。如果能够在不破坏端到端行为的情况下将带有未知方法的报文传递给下游服务器的话,代理应尝试传递这些报文。如果可能破坏端到端行为,则应以"501 Not Implemented(无法实现)"状态码进行响应。最好按惯例"对所发送的内容要求严一点,对所接收的内容宽容一些"来处理扩展方法(以及一般的HTTP扩展)。
和响应报文一起返回的各种状态码
HTTP状态码被分成了五大类。状态码为客户端提供了一种理解事务处理结果的便捷方式。尽管并没有实际的规范对原因短语的确切文本进行说明。
100~199 --- 信息性状态码
HTTP/1.1 向协议中引入了信息性状态码。这些状态码相对较新,关于其复杂性和感知价值存在一些争议。
"100 Continue"状态码尤其让人糊涂。它的目的是对这样的情况进行优化:HTTP客户端应用程序有一个实体的主体部分要发送给服务器,但希望在发送之前查看一下服务器是否会接受这个实体。这可能会给HTTP程序员带来一些困扰,因此在这里进行了比较详细(它如何与客户端、服务器和代理进行通信)的讨论。
客户端与"100 Continue":如果客户端在向服务器发送一个实体,并且愿意在发送实体之前等待"100 Continue"响应,那么,客户端就要发送一个携带了值为"100 Continue"的""Expect"请求首部。如果客户端没有发送实体,就不应该发送"100 Continue Expect"首部,因为这样会使服务器误以为客户端要发送一个实体。从很多方面来看,"100 Continue"都是一种优化。客户端应用程序只有在避免向服务器发送一个服务器无法处理或使用的大实体时,才应该使用"100 Continue"。由于起初对"100 Continue"状态存在一些困惑,因此发送了值为"100 Continue"的"Expect"首部的客户端不应该永远在那儿等待服务器发送"100 Continue"响应。超时一定时间之后,客户端应该直接将实体发送出去。实际上,客户端程序的实现者也应该做好应对非预期"100 Continue"响应的准备。有些出错的 HTTP 应用程序会不合时宜地发送这个状态码。服务器与"100 Continue":如果服务器收到了一条带有值为"100 Continue"的"Expect"首部的请求,它会用"100 Continue"响应或一条错误码来进行响应。服务器永远也不应该向没有发送"100 Continue"期望的客户端发送"100 Continue"状态码。但如前所述,有些出错的服务器可能会这么做。如果出于某种原因,服务器在有机会发送"100 Continue"响应之前就收到了部分(或全部)的实体,就说明客户端已经决定继续发送数据了,这样,服务器就不需要发送这个状态码了。但服务器读完请求之后,还是应该为请求发送一个最终状态码(它可以跳过"100 Continue"状态)。最后,如果服务器收到了带有"100 Continue"期望的请求,而且它决定在读取实体的主体部分之前(比如,因为出错而)结束请求,就不应该仅仅是发送一条响应并关闭连接,因为这样会妨碍客户端接收响应。代理与"100 Continue":如果代理从客户端收到了一条带有"100 Continue"期望的请求,它需要做几件事情。如果代理知道下一跳服务器是"HTTP/1.1"兼容的,或者并不知道下一跳服务器与哪个版本兼容,它都应该将"Expect"首部放在请求中向下转发。如果它知道下一跳服务器只能与"HTTP/1.1"之前的版本兼容,就应该以"417 Expectation Failed"错误进行响应。如果代理决定代表与"HTTP/1.0"或之前版本兼容的客户端,在其请求中放入"Expect"首部和"100 Continue"值,那么,(如果它从服务器收到了"100 Continue"响应)它就不应该将"100 Continue"响应转发给客户端,因为客户端可能不知道该拿它怎么办。代理维护一些有关下一跳服务器及其所支持的HTTP版本的状态信息(至少要维护那些最近收到过请求的服务器的相关状态)是有好处的,这样它们就可以更好地处理收到的那些带有"100 Continue"期望的请求了。
200~299 --- 成功状态码
客户端发起请求时,这些请求通常都是成功的。服务器有一组用来表示成功的状态码,分别对应于不同类型的请求。
300~399 --- 重定向状态码
重定向状态码要么告知客户端使用替代位置来访问他们所感兴趣的资源,要么就提供一个替代的响应而不是资源的内容。如果资源已被移动,可发送一个重定向状态码和一个可选的Location首部来告知客户端资源已被移走,以及现在可以在哪里找到它。这样,浏览器就可以在不打扰使用者的情况下,透明地转入新的位置了。可以通过某些重定向状态码对资源的应用程序本地副本与源端服务器上的资源进行验证。比如,HTTP 应用程序可以查看其资源的本地副本是否仍然是最新的,或者在源端服务器上资源是否被修改过。总之,在对那些包含了重定向状态码的非 HEAD 请求进行响应时,最好要包含一个实体,并在实体中包含描述信息和指向(多个)重定向URL的链接。
302、303和307状态码之间存在一些交叉。这些状态码的用法有着细微的差别,大部分差别都源于"HTTP/1.0"和"HTTP/1.1"应用程序对这些状态码处理方式的不同。当"HTTP/1.0"客户端发起一个POST请求,并在响应中收到302重定向状态码时,它会接受Location首部的重定向URL,并向那个URL发起一个GET请求(而会像原始请求中那样发起POST请求)。"HTTP/1.0"服务器希望"HTTP/1.0"客户端这么做——如果"HTTP/1.0"服务器收到来自"HTTP/1.0"客户端的POST请求之后发送了302状态码,服务器就期望客户端能够接受重定向URL,并向重定向的URL发送一个GET请求。问题出在"HTTP/1.1"。"HTTP/1.1"规范使用303状态码来实现同样的行为(服务器发送303状态码来重定向客户端的POST请求,在它后面跟上一个GET请求)。为了避开这个问题,"HTTP/1.1"规范指出,对于"HTTP/1.1"客户端,用307状态码取代302状态码来进行临时重定向。这样服务器就可以将302状态码保留起来,为"HTTP/1.0"客户端使用了。这样一来,服务器要选择适当的重定向状态码放入重定向响应中发送,就需要查看客户端的HTTP版本了。
400~499 --- 客户端错误状态码
有时客户端会发送一些服务器无法处理的东西,比如格式错误的请求报文,或者最常见的是,请求一个不存在的URL。浏览网页时,我们都看到过臭名昭著的"404 Not Found"错误码——这只是服务器在告诉我们,它对我们请求的资源一无所知。很多客户端错误都是由浏览器来处理的,甚至不会打扰到你。只有少量错误,比如 404,还是会穿过浏览器来到用户面前。
500~599 --- 服务器错误状态码
有时客户端发送了一条有效请求,服务器自身却出错了。这可能是客户端碰上了服务器的缺陷,或者服务器上的子元素,比如某个网关资源,出了错。代理尝试着代表客户端与服务器进行交流时,经常会出现问题。代理会发布5XX服务器错误状态码来描述所遇到的问题。
各种各样的HTTP首部都是用来做什么的
首部和方法配合工作,共同决定了客户端和服务器能做什么事情。在请求和响应报文中都可以用首部来提供信息,有些首部是某种报文专用的,有些首部则更通用一些。可以将首部分为五个主要的类型。
通用首部:这些是客户端和服务器都可以使用的通用首部。可以在客户端、服务器和其他应用程序之间提供一些非常有用的通用功能。请求首部:请求首部是请求报文特有的。它们为服务器提供了一些额外信息,比如客户端希望接收什么类型的数据。响应首部:响应报文有自己的首部集,以便为客户端提供信息(比如,客户端在与哪种类型的服务器进行交互)。实体首部:实体首部指的是用于应对实体主体部分的首部。比如,可以用实体首部来说明实体主体部分的数据类型。扩展首部:扩展首部是非标准的首部,由应用程序开发者创建,但还未添加到已批准的 HTTP 规范中去。即使不知道这些扩展首部的含义,HTTP 程序也要接受它们并对其进行转发。
通用首部
有些首部提供了与报文相关的最基本的信息,它们被称为通用首部。不论报文是何类型,都为其提供一些有用信息。
通用的信息性首部通用缓存首部:"HTTP/1.0"引入了第一个允许HTTP应用程序缓存对象本地副本的首部,这样就不需要总是直接从源端服务器获取了。最新的HTTP版本有非常丰富的缓存参数集。
请求首部
请求首部是只在请求报文中有意义的首部。用于说明是谁或什么在发送请求、请求源自何处,或者客户端的喜好及能力。服务器可以根据请求首部给出的客户端信息,试着为客户端提供更好的响应。
请求的信息性首部Accept首部:Accept首部为客户端提供了一种将其喜好和能力告知服务器的方式,包括它们想要什么,可以使用什么,以及最重要的,它们不想要什么。这样,服务器就可以根据这些额外信息,对要发送的内容做出更明智的决定。Accept 首部会使连接的两端都受益。客户端会得到它们想要的内容,服务器则不会浪费其时间和带宽来发送客户端无法使用的东西。条件请求首部:有时客户端希望为请求加上某些限制。比如,如果客户端已经有了一份文档副本,就希望只在服务器上的文档与客户端拥有的副本有所区别时,才请求服务器传输文档。通过条件请求首部,客户端就可以为请求加上这种限制,要求服务器在对请求进行响应之前,确保某个条件为真。安全请求首部:HTTP本\身就支持一种简单的机制,可以对请求进行质询 / 响应认证。这种机制要求客户端在获取特定的资源之前,先对自身进行认证,这样就可以使事务稍微安全一些。代理请求首部:随着因特网上代理的普遍应用,人们定义了几个首部来协助其更好地工作。
响应首部
响应报文有自己的响应首部集。响应首部为客户端提供了一些额外信息,比如谁在发送响应、响应者的功能,甚至与响应相关的一些特殊指令。这些首部有助于客户端处理响应,并在将来发起更好的请求。
响应的信息性首部协商首部:如果资源有多种表示方法——比如,如果服务器上有某文档的法语和德语译稿,"HTTP/1.1"可以为服务器和客户端提供对资源进行协商的能力。安全响应首部:本质上这里说的就是HTTP的质询/响应认证机制的响应侧。
实体首部
有很多首部可以用来描述HTTP报文的负荷。由于请求和响应报文中都可能包含实体部分,所以在这两种类型的报文中都可能出现这些首部。实体首部提供了有关实体及其内容的大量信息,从有关对象类型的信息,到能够对资源使用的各种有效的请求方法。总之,实体首部可以告知报文的接收者它在对什么进行处理。
实体的信息性首部内容首部:内容首部提供了与实体内容有关的特定信息,说明了其类型、尺寸以及处理它所需的其他有用信息。比如,Web 浏览器可以通过查看返回的内容类型,得知如何显示对象。实体缓存首部:通用的缓存首部说明了如何或什么时候进行缓存。实体的缓存首部提供了与被缓存实体有关的信息——比如,验证已缓存的资源副本是否仍然有效所需的信息,以及更好地估计已缓存资源何时失效所需的线索。
