HTTP 标头是超文本传输​​协议 (HTTP) 的关键组件，允许服务器和客户端除了请求或响应之外还交换附加信息。 

它们包含有关所请求或所服务的资源的元数据，包括内容类型、长度以及服务器或客户端应如何处理数据的详细信息。HTTP 标头促进浏览器（客户端）和服务器之间的通信，确保网络交易顺畅。 

什么是 HTTP 标头？ 

HTTP 标头是 HTTP 协议的一部分，用于在客户端（浏览器或应用程序）和服务器之间传输元数据。 

它们包含键值对，提供有关请求或响应的重要信息，例如浏览器类型、内容类型、编码等等。标头有多种类型，包括常规标头、请求标头、响应标头和实体标头。 

常规 HTTP 标头 

这些标头提供适用于请求和响应消息的一般信息，例如Connection ，它控制网络连接在当前事务之后是否保持打开状态。 

例子： 

连接：保持连接

请求标头 

请求标头由客户端（浏览器或应用程序）在向服务器发出 HTTP 请求时发送。这些标头传达有关客户端请求和偏好的信息，例如语言、接受的内容类型和身份验证凭据。 

示例包括： 

• User-Agent：标识发起请求的客户端软件。 

• Accept：表示客户端可以处理的内容类型。 

例子： 

用户代理：Mozilla/5.0 
接受：text/html，application/json 

响应标头 

响应头由服务器发送，提供有关服务器本身、正在发送的数据以及客户端的指令的信息。

常见的响应头包括： 

• Content-Type：指定返回的数据类型（例如，HTML、JSON）。 

• Cache-Control：向客户端提供缓存指令。 

例子： 

内容类型：application/json 
缓存控制：无缓存 

实体标头 

这些标题包含有关资源主体的信息，例如其大小、修改日期或编码格式。 

示例包括： 

• Content-Length：指定响应主体的大小（以字节为单位）。 

• Content-Encoding：描述应用于响应主体的任何编码，例如 gzip 压缩。 

例子： 

内容长度：5234 
内容编码：gzip 

常用的 HTTP 标头 

1. 授权

用于通过请求传递身份验证凭据。此标头对于确保对受保护资源的访问安全至关重要。 

例子： 

授权： Bearer <token> 
 

2. 引荐来源

指示发出请求的上一个网页的 URL。它可帮助服务器识别流量来源。 

例子： 

引荐来源： https: //example.com/ 

3. 设置Cookie

在响应标头中发送，这会在客户端浏览器中设置一个 cookie。Cookie 用于存储会话数据、首选项或跟踪信息。 

例子： 

设置 Cookie：sessionId=abc123；HttpOnly；安全 

4. 内容安全策略 (CSP)

CSP 通过定义批准的内容源来帮助防止跨站点脚本 (XSS) 和其他代码注入攻击。 

例子： 

内容安全策略：默认 src'self'；img-src https://images.example.com 

HTTP 标头的工作原理 

当浏览器或客户端向服务器发送 HTTP 请求时，会包含请求标头来描述请求的各种参数，例如客户端期望的数据格式和有关客户端设备的详细信息。 

服务器使用响应头进行响应，响应头描述了返回的资源、其格式、可以缓存多长时间以及客户端处理数据的其他指令。 

带有 HTTP 标头的请求和响应周期： 

1. 客户端发出请求：客户端（通常是 Web 浏览器）发送 HTTP 请求，其中的标头指示其请求的资源类型，例如网页、图像或数据。 
2. 服务器处理请求：服务器处理请求，检查授权，并准备适当的响应。 
3. 响应标头：服务器随内容发送 HTTP 响应标头，指定内容的类型、编码和其他相关数据。 
4. 客户端接收响应：浏览器解释响应头以确定如何处理和显示内容。 

如何防止 HTTP 标头欺骗 

当攻击者操纵 HTTP 标头来伪造不同的身份或操纵请求时，就会发生 HTTP 标头欺骗。

这可能会导致安全漏洞，例如跨站点脚本 (XSS)、会话劫持或缓存中毒。防范 HTTP 标头欺骗包括： 

• 严格的输入验证：确保输入数据在处理之前被清理。 

• 使用 HTTPS：安全的 HTTPS 连接可防止可能在传输过程中修改 HTTP 标头的中间人攻击。 

• 执行内容安全策略：为可接受的内容源定义严格的规则。 

• 标头加密：加密敏感标头，例如授权。