http headers

Accept r 通用 请求时告诉服务端可以接受的响应类型,用于协商，服务端会按照顺序和权重返回合适的响应数据类型。 Accept-Charset r 通用 同上 客户端接受的字符集。 Accept-Encoding r 通用 同上 客户端可以接受的压缩编码。 Accept-Language r 通用 同上 客户端接受语言。 Accept-Ranges w Range 在Range请求时返回，标识返回类型，通常返回Accept-Ranges: bytes。 Access-Control-Allow-Credentials w CORS 允许浏览器读取response的认证内容。 Access-Control-Allow-Headers w CORS 实际请求中允许携带的首部字段。 Access-Control-Allow-Methods w CORS 实际请求所允许使用的 HTTP 方法。 Access-Control-Allow-Origin w CORS 指定允许请求的源站，一般该响应值为请求的Origin，部分阅览器将不再支持*。 Access-Control-Expose-Headers w CORS 允许客户端读取响应额外的headers。 Access-Control-Max-Age w CORS preflight请求的结果能够被缓存多久。 Access-Control-Request-Headers r CORS 实际请求需要附加的header。 Access-Control-Request-Method r CORS 实际请求的方法。 Age w proxy 代理缓存资源时间。 Allow w 405 在返回405状态码时，记录服务端允许的请求方法。 Alt-Svc w http3 在客户端发起请求后，服务端使用Alt-Svc header表示自己支持的h3地址和版本。 Authorization r auth 发送客户端验证信息，未认证或认证失败返回401，然后重新输入认证信息。 Cache-Control cache 客户端表示是否接受缓存类型，服务端表示如何进行缓存。 Connection 通用 值为Close表示关闭连接，Keep-Alive表示使用长连接，Upgrade在Upgrade机制使用。 Content-Disposition w 通用 响应body的描述，例如文件下载后的文件名称。 Content-Encoding 通用 表示body的编码类型，通常出现就是gzip，是响应协商Accept-Encoding的值。 Content-Language 通用 同上 body使用的语言，响应协商Accept-Language。 Content-Length 通用 同上 body的长度，在不使用分段传输的长连接才会有此header，记录这个body的长度用于区别下一个请求。 Content-Location 通用 Content-Range w Range 表示Range请求返回的数据是整体的那一段位置。 Content-Security-Policy w 安全 CSP CSP的值，也可以设置在html head meta里面，是安全相关阅览器策略。 Content-Type 通用 表示body内容的数据类型，例如json、xml、text、html。 Cookie r Cookie 请求时发送的Cookie键值对数据。 Cross-Origin-Resource-Policy w DNT r chrome chrome里面有一个选项开启后会发送，表示不希望被追踪，作用未知。 Date 通用 表示请求或响应的创建时间。 Digest w 通用 记录请求资源的摘要。 ETag w cache 相当于响应的hash值，用于下次请求时判断是否内容改变。 Expect r 通用 发送Expect: 100-continue后不会发送body，需要服务端返回100后才会继续发送body，可以让服务端判断是否需要发送body。 Expect-CT w 安全 CT 服务端返回证书的CT信息。 Expires w cache 记录缓存的过期时间。 Forwarded r proxy 和X-Forwarded-For类似，记录经过的代理ip。 From r 发请求人的联系email。 Host r 通用 http/1.1唯一的必要请求header，记录host值。 If-Match r cache 发送之前请求返回的Etag值，如果服务端匹配资源Etag才会响应。 If-Modified-Since r cache 发送上传请求该资源响应的Last-Modified值，用于服务端判断资源修改时间在此时间之前就返回304，否在返回200和资源。 If-None-Match r cache 发送之前请求返回的Etag值，如果服务端匹配就会返回304，否在返回200和资源。 If-Unmodified-Since r cache 判断资源修改时间在此时间之后才会返回200和资源，否在返回412。 Keep-Alive 通用 在Connection: Keep-Alive时的keepalive配置信息。 Last-Modified w cache 返回资源最后修改时间。 Location w redirect 记录重定向返回的新地址，响应码为：301、302、307、308。 Origin r CORS ws 表明预检请求或实际请求的源站,以及ws Upgrade时发送客户端地址。 Pragma cache 兼容http/1.0，作用相当于Cache-Contro。l Proxy-Authenticate w proxy auth 返回代理为认证需要发送认证信息，状态码407，类似www-Authenticate。 Proxy-Authorization r proxy auth 发送代理的验证信息。 Public-Key-Pins w 安全 HPKP hpkp记录证书的允许的多个hash，hash算法为sha256 sha384 sha512，如果hpkp不匹配阅览器一般会中断请求。 Range r Range 表示客户端请求需要服务端返回那一部分数据。 Referer r 通用 安全 表示发送这个请求的引用地址，http会自动发送，https不会自动发送但是可以设置一个meta后就会自动发送。 Referrer-Policy w 安全 表示资源引用策略和CSP类似。 Sec-WebSocket-Accept w ws 值为Sec-WebSocket-Key的值加固定字符串"258EAFA5-E914-47DA-95CA-C5AB0DC85B11"然后计算sha1,用于验证ws握手。 Sec-WebSocket-Key r ws 随机字符串。 Sec-WebSocket-Protocol r ws ws客户端支持的扩展协议。 Sec-WebSocket-Version r ws ws协议的版本，通常使用版本为13。 Server w 通用 表示服务端信息，不要返回详细版本信息防止攻击。 Set-Cookie w Cookie 返回服务端设置的新的Cookie数据。 Trailer w 通用 在分段传输时，Trailer指定在先返回body后再返回那些header。 Transfer-Encoding w 通用 表示服务端使用的传输编码，例如分段传输。 Upgrade r ws 在Upgrade机制时发送该header，例如利用Upgrade机制握手ws时发送Upgrade: websocket header，Upgrade成功则返回101状态码。 Upgrade-Insecure-Requests r chrome 将下一个请求发送https协议，在chrome70后出现，如果html mate或header使用CSP响应了这个header，下一个请求会自动变成https，不存在30x重定向的过程。 User-Agent r 通用 记录客户端的信息。 Vary w 通用 表示服务端支持了那个协商的header。 WWW-Authenticate w auth 表示客户端需要验证或者验证不正确，和401状态码一起出现，然后需要重新输入认证信息。 X-Content-Type-Options w 安全 强制要求响应返回Content-Type header，否在body作为text显示。 X-DNS-Prefetch-Control w 用于启用DNS预读取功能，提前解析dns减少请求时间，作用未知。 X-Forwarded-For r proxy 与Forwarded作用一样记录经过的代理ip X-Forwarded-Host r proxy 记录最初的请求的Host值。 X-Forwarded-Proto r proxy 代理端对端间使用的协议。 X-Frame-Options w 安全 是Frame标签嵌套地址策略。 X-Powered-By w 通用 通常php可能返回Powered-By: PHP/5.2.6，暴露了版本信息可能遭到相关版本bug攻击，需要删除。 X-XSS-Protection w 安全 XSS安全相关。