Access-Control-Allow-Origin:表面该站点可以被哪些网站进行跨域资源共享(cross-origin resource sharing,CORS)(请参考“同源策略”和“跨域之源共享”),例如:Access-Control-Allow-Origin: http://example.com:8080 http://foo.example.com,或者Access-Control-Allow-Origin:*
Accept-Ranges:表明服务器支不支持资源范围请求(“资源范围请求”是指按byte为单位,请求资源的某一段数据,例如请求一个文件的200byte—400byte的数据)。Accept-Ranges:bytes 表示该资源支持byte形式资源范围请求,Accept-Ranges:none则表示不支持。
Age:一个资源存在于代理中缓存的时间。单位是秒。
Allow:一个资源允许哪些HTTP方法进行请求,例如:Allow: GET, HEAD
Cache-Control:(Cache-Control是内容比较多的一个头域,我会在下一篇博客做介绍)
Connection:连接方式。值有keep-alive和close
Content-Encoding:服务器对响应数据的编码方式,但这里的编码方式不同于编码字符集(GB2312,UTF-8等),而是(通常)指压缩方式,例如Content-Encoding:gzip
Content-Language:响应数据的自然语言,例如:Content-Language:ZH-CN
Content-Length:响应数据的数据长度,单位是byte,例如Content-Length:1024
Content-Location:(这个没搞清什么意思)
Content-MD5:基于base64编码的回应数据的MD5校验和,例如:Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
Content-Disposition:当客户端请求的资源是一个可下载的资源(这里的“可下载”是指浏览器会弹出下载框或者下载界面)时,对这个可下载资源的描述(例如下载框中的文件名称)就是来源于该头域。例如:Content-Disposition: attachment; filename="some_app.exe"
Content-Range:表示如果当前这个响应数据是整个资源的一部分时,是具体的哪一部分(从第几byte到第几byte)。在请求中,客户端可以通过设定"Range"头域来通知服务器其只想请求整个资源中某一段数据,而对应的,当服务器响应这种请求,并发送某一段数据到客户端的时候,必须通过Content-Range头来告诉客户端当前的响应数据是整个资源的第几byte到第几byte。这个在资源的分段下载和续点下载应用中很有用。例如:Content-Range:500-900
Content-Type:响应数据的MIME类型,例如:Content-Type: text/html; charset=utf-8
Date:响应消息发送的GMT格式日期,例如:Date: Tue, 15 Nov 1994 08:12:31 GMT
ETag:(Entity-Tag的缩写)资源的一个标识,类似于key-value pair(键值对)中的key。ETag通常用于校验一个资源实体有没有被修改过。在数据缓存和PUT方法更新资源时候有用处。例如:ETag: "737060cd8c284d8af7ad3082f209582d"
Expires:告诉客户端该响应数据会在指定的时间过期,通常用于给客户端缓存作为参考。例如:Expires: Thu, 01 Dec 1994 16:00:00 GMT
Last-Modified:客户端所请求的资源的最后修改时间。
Link:描述当前被请求的资源和另外一个资源的关系。这种关系被定义在RFC5988。例如:Link: </feed>; rel="alternate"
Location:用户通知客户端转跳(重定向)到另一个URL(就是asp.net中Response.Redirect()方法的效果)。例如:Location: http://www.w3.org/pub/WWW/People.html
P3P:Platform for Privacy Preferences Project的缩写,表示本站点遵守P3P协议(标称本站点不会违法使用用户信息)并希望收集用户信息。不过P3P目前使用并不广泛,特别国内并不重视P3P。P3P的值的格式为: P3P:CP="your_compact_policy"。
Pragma:在请求/响应链上附近的一些参数。该头域内容较多,我会在下一篇博客中做介绍。
Proxy-Authenticate:访问代理时需要使用的验证方式。例如:Proxy-Authenticate: Basic
Refresh:用于令客户端在指定N秒后转跳到另外一个URL。例如:Refresh:6,http://www.google.com.hk 6秒后转跳到google
Retry-After:用于因为某些原因(例如该资源暂时无效)通知客户端在指定时间后重新尝试请求,时间单位为秒。例如:Retry-After:60 一分钟后重新尝试请求该资源。
Server:服务器的名称。例如 Server: Apache/2.4.1 (Unix)
Set-Cookie:对客户端设置cookie。例如:Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1
Strict-Transport-Security:用于指示客户端如何对HTTPS进行缓存(缓存多长时间)以及是否对子域生效。例如:Strict-Transport-Security: max-age=16070400; includeSubDomains
Trailer:当响应资源已chunked编码(具体请google一下chunked编码)传输时,每个Chunked-Body尾部的额外数据。
Transfer-Encoding:响应内容的传输编码方式,通常有 chunked, deflate, gzip等。
Vary:用来指示缓存代理(例如squid)根据什么条件去缓存一个请求。Vary的可能值有: Vary: Accept-Encoding Vary: Accept-Encoding,User-Agent Vary: X-Some-Custom-Header,Host Vary: *
Via:告诉客户端,该回应经历了那些代理。例如 Via: 1.0 example1.com, 1.1 example2.com (Apache/1.1)
WWW-Authenticate:表示当前是用什么验证方式访问一个资源。例如:WWW-Authenticate:base
通用的非标准HTTP头域:
X-XSS-Protection:IE8+中开启或关闭跨站脚本攻击。例如:X-XSS-Protection: 1; mode=block 有关请看:http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx
X-Content-Type-Options:IE和chrome中的一个非标准头域,只有一个值:nosniff。通常地,针对一个请求的响应的头域中有content-type头域来描述内容的MIME类型,但有些内容并没有提供其MIME类型,这时候浏览器可以自己探测
该内容是什么类型,而X-Content-Type-Options:nosniff正是用于关闭自动嗅探功能。
X-Powered-By:表面当前站点(或资源)是用什么技术开发,例如 X-Powered-By:ASP.NET。相关的还有X-Runtime, X-Version, X-AspNet-Version
转载:CSDN