HTTP头域列表与解释 之 response篇

Access-Control-Allow-Origin:表面该站点可以被哪些网站进行跨域资源共享（cross-origin resource sharing，CORS）（请参考“同源策略”和“跨域之源共享”），例如：Access-Control-Allow-Origin: http://example.com:8080 http://foo.example.com，或者Access-Control-Allow-Origin:*

Accept-Ranges:表明服务器支不支持资源范围请求(“资源范围请求”是指按byte为单位，请求资源的某一段数据，例如请求一个文件的200byte—400byte的数据)。Accept-Ranges：bytes 表示该资源支持byte形式资源范围请求，Accept-Ranges：none则表示不支持。

Age：一个资源存在于代理中缓存的时间。单位是秒。

Allow：一个资源允许哪些HTTP方法进行请求，例如：Allow: GET, HEAD

Cache-Control：（Cache-Control是内容比较多的一个头域，我会在下一篇博客做介绍）

Connection：连接方式。值有keep-alive和close

Content-Encoding：服务器对响应数据的编码方式，但这里的编码方式不同于编码字符集(GB2312,UTF-8等)，而是(通常)指压缩方式，例如Content-Encoding:gzip

Content-Language:响应数据的自然语言，例如：Content-Language:ZH-CN

Content-Length：响应数据的数据长度，单位是byte,例如Content-Length:1024

Content-Location:(这个没搞清什么意思)

Content-MD5:基于base64编码的回应数据的MD5校验和，例如：Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==

Content-Disposition：当客户端请求的资源是一个可下载的资源（这里的“可下载”是指浏览器会弹出下载框或者下载界面）时，对这个可下载资源的描述（例如下载框中的文件名称）就是来源于该头域。例如：Content-Disposition: attachment; filename="some_app.exe"

Content-Range:表示如果当前这个响应数据是整个资源的一部分时，是具体的哪一部分（从第几byte到第几byte）。在请求中，客户端可以通过设定"Range"头域来通知服务器其只想请求整个资源中某一段数据，而对应的，当服务器响应这种请求，并发送某一段数据到客户端的时候，必须通过Content-Range头来告诉客户端当前的响应数据是整个资源的第几byte到第几byte。这个在资源的分段下载和续点下载应用中很有用。例如：Content-Range:500-900

Content-Type：响应数据的MIME类型，例如：Content-Type: text/html; charset=utf-8

Date:响应消息发送的GMT格式日期,例如：Date: Tue, 15 Nov 1994 08:12:31 GMT

ETag:（Entity-Tag的缩写）资源的一个标识，类似于key-value pair（键值对）中的key。ETag通常用于校验一个资源实体有没有被修改过。在数据缓存和PUT方法更新资源时候有用处。例如：ETag: "737060cd8c284d8af7ad3082f209582d"

Expires：告诉客户端该响应数据会在指定的时间过期，通常用于给客户端缓存作为参考。例如：Expires: Thu, 01 Dec 1994 16:00:00 GMT

Last-Modified：客户端所请求的资源的最后修改时间。

Link：描述当前被请求的资源和另外一个资源的关系。这种关系被定义在RFC5988。例如：Link: </feed>; rel="alternate"

Location：用户通知客户端转跳(重定向)到另一个URL（就是asp.net中Response.Redirect()方法的效果）。例如：Location: http://www.w3.org/pub/WWW/People.html

P3P：Platform for Privacy Preferences Project的缩写，表示本站点遵守P3P协议(标称本站点不会违法使用用户信息)并希望收集用户信息。不过P3P目前使用并不广泛，特别国内并不重视P3P。P3P的值的格式为： P3P:CP="your_compact_policy"。

Pragma：在请求/响应链上附近的一些参数。该头域内容较多，我会在下一篇博客中做介绍。

Proxy-Authenticate：访问代理时需要使用的验证方式。例如：Proxy-Authenticate: Basic

Refresh：用于令客户端在指定N秒后转跳到另外一个URL。例如：Refresh:6,http://www.google.com.hk 6秒后转跳到google

Retry-After：用于因为某些原因（例如该资源暂时无效）通知客户端在指定时间后重新尝试请求，时间单位为秒。例如：Retry-After:60 一分钟后重新尝试请求该资源。

Server:服务器的名称。例如 Server: Apache/2.4.1 (Unix)

Set-Cookie：对客户端设置cookie。例如:Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1

Strict-Transport-Security：用于指示客户端如何对HTTPS进行缓存（缓存多长时间）以及是否对子域生效。例如：Strict-Transport-Security: max-age=16070400; includeSubDomains

Trailer：当响应资源已chunked编码(具体请google一下chunked编码)传输时，每个Chunked-Body尾部的额外数据。

Transfer-Encoding：响应内容的传输编码方式，通常有 chunked, deflate, gzip等。

Vary：用来指示缓存代理（例如squid）根据什么条件去缓存一个请求。Vary的可能值有： Vary: Accept-Encoding Vary: Accept-Encoding,User-Agent Vary: X-Some-Custom-Header,Host Vary: *

Via：告诉客户端，该回应经历了那些代理。例如 Via: 1.0 example1.com, 1.1 example2.com (Apache/1.1)

WWW-Authenticate：表示当前是用什么验证方式访问一个资源。例如：WWW-Authenticate:base

通用的非标准HTTP头域：

X-XSS-Protection：IE8+中开启或关闭跨站脚本攻击。例如：X-XSS-Protection: 1; mode=block 有关请看：http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx

X-Content-Type-Options：IE和chrome中的一个非标准头域，只有一个值：nosniff。通常地，针对一个请求的响应的头域中有content-type头域来描述内容的MIME类型，但有些内容并没有提供其MIME类型，这时候浏览器可以自己探测
该内容是什么类型，而X-Content-Type-Options:nosniff正是用于关闭自动嗅探功能。

X-Powered-By：表面当前站点（或资源）是用什么技术开发，例如 X-Powered-By:ASP.NET。相关的还有X-Runtime, X-Version, X-AspNet-Version