自定义HTTP标头：命名约定

Custom HTTP headers : naming conventions

我们的一些用户要求我们在我们发送给他们的请求的HTTP头中包含与其帐户相关的数据，甚至包括他们从我们的API得到的响应。在命名、格式等方面，添加自定义HTTP头的一般约定是什么？等。

另外，请随意发布您在网上偶然发现的这些智能用法；我们正在尝试使用最好的方法作为目标来实现这一点：)

2012年6月，使用"x-"前缀的建议被否决，正式成为RFC 6648。以下是相关的引文：

3. Recommendations for Creators of New Parameters

...

SHOULD NOT prefix their parameter names with"X-" or similar
constructs.

4. Recommendations for Protocol Designers

...

SHOULD NOT prohibit parameters with an"X-" prefix or similar
constructs from being registered.

MUST NOT stipulate that a parameter with an"X-" prefix or
similar constructs needs to be understood as unstandardized.

MUST NOT stipulate that a parameter without an"X-" prefix or
similar constructs needs to be understood as standardized.

请注意，"不应"("不鼓励")与"不得"("禁止")不同，请参阅RFC 2119了解这些关键字的其他规范。换言之，您可以继续使用"x-"前缀头，但不建议这样做，而且您可能不会将它们作为公共标准来记录。

2011年6月，IETF发布了第一份草案，反对对非标准报头使用"x-"前缀的建议。原因是，当以"x-"为前缀的非标准头成为标准头时，删除"x-"前缀会破坏向后兼容性，迫使应用程序协议支持这两个名称(例如，x-gzip和gzip现在是等效的)。因此，建议您只需在不使用"x-"前缀的情况下明智地命名它们。

建议~~以"x-"开头。例如：X-Forwarded-For、X-Requested-With。这一点也在A.O.第5节RFC 2047中提到。~~

相关讨论

正如很多孩子永远不会成为职业运动员一样，许多定制的标题永远不会成为标准。我倾向于把"X-"放在上面。

G-MAC同意了。有那么多的自定义头文件永远不会被标准化。很少有人这样做，只需编辑从if (header =="x-gzip")到if (header =="x-gzip" || header =="gzip")的代码就很容易了。至于你的类比，这里还有另一个：就像军队说的，"哦，把一个人从私人变为一般很麻烦。"从现在起，你们都是将军。现在我们不需要做那么多的工作。"

@科尔约翰逊不确定这个类比是否有效。这里的问题是没有中心点可以更改名称。现在必须更改每个期望x-gzip的代码片段，否则除了新的代码片段外，还需要继续使用旧的头段。最好配上RFC6648。

维诺德是的。这是有道理的，但有这么多的建议标准，将永远看不见光明。对于文件类型，当然可以；删除X-前缀。我反对，但继续做吧。对于收割台，不要掉下来。它使我们很容易看到和走，"哦，它是非标准的；我可以忽略它"对"有那些非标准的X-头，然后有一个我不认识的头；我可以安全地忽略它吗？"

所以我不清楚这种贬低是否也适用于mime类型？在注册mime类型之前，我们是否仍然需要使用例如application/x-foo-bar，或者这种新的拒绝是否覆盖mime类型注册过程？

尽管CWeekly回答的语气是不必要的防御，但我相信他是对的，他的观点解决了这个评论线索中说明的问题。简而言之，不要试图确定报头是否"毕业"，而是确定它是私有还是公共报头(特定于应用程序还是"通用"/"全局")。对于私有头文件，可以选择使用X-来确保与公共头文件没有冲突(这要归功于处理公共头文件的rfc6648)，此外，还必须使用任意的私有前缀。对于公共头段，在任何情况下都不要使用X-。

@科尔·约翰逊对你的第一句评论：你确定你想改变你5年前或之前工作过的产品吗？更改旧项目并在更改后对其进行测试并不总是容易的。

@实际上，猫先生，从现在起5到10年内，我仍然使用的产品不多。或者至少我不会使用相同的版本。如果您不想维护一段代码，那么这没关系，但是代码将不再相关。我个人认为，对于非标准化的报头，最明智的做法是遵循X--的约定，因为如果两个人想要实现相同的功能，或者共享相同"合理"名称的不同功能，那么他们在标准跟踪时就不会有歧义，而一个人可以成为标准报头。

使用与HTML5类似的X-Data-____"data-uuuuuuuuuuuuuu"属性，它应该是完美的向后兼容，它不会改变响应主体的大小，并且您可以提供几乎任何类型的数据，如果它是"怪异的"编码(base64，或urlcomponent，甚至escape)：)

@ Elad：我知道。答案可以归结为，只要你知道没有标准或建议，你就可以自由选择你想要的任何东西，并且在公共API的情况下，你应该将其作为公共标准的一部分记录下来。

@我可以把snake的case值作为头传递吗？

@Praveen_Shukla：见答案和我之前的评论。

@麦基，你没抓住要点。对于这样的报头，它们是什么并不重要，所以它们可以从X-开始，也可以不从EDOCX1开始，这并不重要。

@ColeJohnson，任何HTTP阅读器都需要能够区分标准头和非标准头。在任何你知道的HTTP阅读器上尝试这些测试，包括你自己：test-1)Foobar不是从X-开始的；它是不是标准头？test-2)Xkcd不是从X-开始的，是不是标准头段？

@Pacier Verbosity头怎么样？

@弗兰克林于，不规范。

什么"相似结构"？？？？这是否意味着我也不能放Z-？

这个问题需要重读。所问的实际问题与CSS属性中的供应商前缀不同，在这里未来的校对和考虑供应商支持和官方标准是适当的。实际提出的问题更类似于选择URL查询参数名称。没有人应该关心他们是什么。但是，自定义的名称间距是一个完全有效的、常见的、正确的操作。
理论基础：这是关于开发人员之间关于定制的、特定于应用程序的头文件的约定——"与他们的帐户相关的数据"——这与第三方要实现的供应商、标准机构或协议没有任何关系，除非讨论中的开发人员只需要避免头文件名可能会被服务器、代理服务器或代理服务器使用。IES或客户。因此，给出的"x-gzip/gzip"和"x-forwarded/forwarded for"示例是没有意义的。提出的问题是关于私有API上下文中的约定，类似于URL查询参数命名约定。这是一个偏好和名称间距的问题；对于没有"x"的代理或供应商支持"x-clientdatafoo"的担忧显然放错了位置。
"x-"前缀没有什么特别或神奇的地方，但它有助于明确它是一个自定义头。事实上，RFC-6648等帮助支持使用"x-"前缀的情况，因为——作为HTTP客户机和服务器的供应商，放弃了前缀——您的应用程序特定的私有API，个人数据传递机制正变得更好地隔离名称空间与少量官方保留头名称的冲突。也就是说，我个人的偏好和建议是更进一步，比如"x-acme-clientdatafoo"(如果你的widget公司是"acme")。
imho IETF规范没有足够的具体性来回答OP的问题，因为它无法区分完全不同的用例：(a)供应商一方面引入了新的全球适用功能，如"转发给"，而(b)应用程序开发人员将应用程序特定的字符串传递给/从客户机和服务器传递。规范只涉及前者(a)。这里的问题是(b)是否有约定。有。它们包括按字母顺序将参数分组在一起，并将它们与(a)类型的许多标准相关的头文件分开。使用"x-"或"x-acme-"前缀对于(b)是方便和合法的，并且不与(a)冲突。供应商停止使用"x-"表示(a)的次数越多，则(b)的用法就越清晰。
例子：google(在各种标准机构中都有一点分量)截至今天，20141102在这篇对我的答案进行的简短编辑中，目前正在使用"x-mod-pagespeed"来表示参与转换给定响应的Apache模块的版本。有人真的建议谷歌使用"mod pagespeed"，而不使用"x-"，和/或要求IETF祝福它的使用吗？
总结：如果您在应用程序中使用自定义HTTP头(有时作为cookie的适当替代方法)来向服务器传递数据，并且这些头(明确地说，这些头)从来没有打算在应用程序上下文之外使用，则名称将它们与"x-"或"x-foo-"前缀隔开是一种合理且常见的约定。

相关讨论

如果我的评论中有哪一位投反对票的人能解释我的回答中哪一部分是令人反感的，我将不胜感激。我不太在乎自己的名誉分数，但我真的很好奇。分歧何在？谢谢。

我完全同意你的答案，这里唯一的答案就是回答你提出的实际问题。我们在这里讨论的是定制的、特定于应用程序的头，在HTTP标准中永远不会被标准化。有没有一个共同的惯例，人们往往使用这些？(比如在它们前面加上"uu"可能吗？即：("_clientdatafoo")。

谢谢，玛西，是的，接受的答案并不能解决问题。IETF对非标准(但通用)头文件的"x-"前缀的弃用与永远不会被标准化的自定义应用程序特定头文件无关。为了回答你的问题，根据我的观点和经验(Webdev工作了16年)，最好的惯例是使用前面提到的"x-acme-clientdata"。x-"bc它不是标准的(它也不会是标准的，这就是为什么IETF在这里不提倡使用的原因)，"acme-"将它命名为您的"acme"公司或特定的应用程序，而"clientdata"可以是您喜欢的任何语义名称。：)

除您的建议外，我建议使用类似的约定，在许多语言中使用包或名称空间名称，这类似于反向域：com.mycompany.headers.custom:somevalue。我找不到任何地方说你不能在标题名中使用点。这样就不会发生碰撞。

在标题前面加上您的公司/产品名称。x-加零值，通过使用它，你证明了对ietf规范的忽视/忽视，该规范明确指出使用x-前缀是一个错误，我们从中吸取了教训。

@conan-我一直只使用字母、数字和连字符(它们清晰地映射到对应env vars的apache mod_setenvif下划线)，因为在apache中，将头与env vars配对是我自定义头的主要用途。YMMV。

@达雷尔·米勒，谢谢你的评论。你可能是对的，一个x前缀本身不会增加太多的值，如果你清楚的是名称间距，他们与其他东西，将永远不会与任何IETF保留/官方名称冲突。(哪个目标是由"x-"前缀有效保证的，这要归功于规范。)现在我又重复了一遍。叹息。祝你今天愉快。

@我认为，与IETF的官方名称冲突是最小的问题。与其他人的扩展名冲突是真正的危险。X-的想法是，它从来没有出现在大的坏互联网上，因此冲突是不可能的。

@达雷米勒…因此，建议使用x-acmeco-widget-foo。我坚持认为，对于OP提出的问题，使用X-并不是RFC-6648等文件所指出的禁忌症。如果你是一个为其他人的项目提供框架、库或模块的供应商，那就另当别论了，而且无论如何都要遵循RFC。但是对于单独的一次性应用程序来说，这是没有意义的，因为定制的应用程序特定的头命名约定实际上是完全私有的API。他们将如何与"其他人"的名字冲突？那是谁的？

正如你抱怨的那样：事实上，你的问题也没有(完全)回答这个问题，因为你只是在谈论naming，而不是format，你问的是什么，并且肯定与HTTP规范相对应。你甚至否定了这个事实。见下面汤姆·安德森的回答：stackoverflow.com/a/3569667/2898712。

1。从不打算删除x的x头文件(假设"x"的预期含义是xtra或扩展名等)与所谓的标准头文件一样有效。2。对于命名的要求很少，x、y或z-前缀都是可以接受的。三。头通常在知名浏览器的"devtools"中按字母顺序排序，允许devops在一个地方看到一组所有的x头，在缓存控制等标准web服务器头之上生成一个应用程序特定头的抽象层。

@有趣的是，被接受的答案比你的得到了更多的否决票，无论是绝对数(10对2)，还是百分比(2.3%对2%)：-d

我喜欢这样一种想法，即我们可以区分全局的、实验的和特定于应用程序的。然而，RFC6648似乎适用于这两种情况；例如，它声称它"不建议反对私有、本地、初步、实验或实现特定参数的实践，只建议反对在这些参数的名称中使用"x-"和类似的结构。"人们可能会认为这是一个错误，但不愿意重新使用这些参数。t ietf"当前最佳实践"。因为这个原因，我想我会选择ACMECO-WIDGET-FOO，而不选择X-。

我真的很难理解RFC的推理。如果参数被标准化，那么当参数被标准化时，将同时存在X和非X版本。只有当X和非X版本的行为相同时，这才是一个问题。我在这里绊了一跤，因为我想在我的API中添加一个"代表"头。有一天它可能会公开(因为它是一种常见的用例)。如果我使用"代表"，并且有一天他们将其添加为标准头，那么我的语义与标准头相同的几率有多大？

HTTP头的格式在HTTP规范中定义。我将讨论HTTP 1.1，它的规范是RFC2616。在第4.2节"消息头"中，定义了头的一般结构：

1
2
3
4
5
6
message-header = field-name":" [ field-value ]
field-name = token
field-value = *( field-content | LWS )
field-content = <the OCTETs making up the field-value
and consisting of either *TEXT or combinations
of token, separators, and quoted-string>

这个定义基于两个主要支柱，令牌和文本。二者都在第2.2节"基本规则"中定义。令牌是：

1
token = 1*

依次依靠char、ctl和分隔符：

1
2
3
4
5
6
7
8
9
CHAR =

CTL = <any US-ASCII control character
(octets 0 - 31) and DEL (127)>

separators ="(" |")" |"<" |">" |"@"
|"," |";" |":" |"" | <">
|"/" |"[" |"]" |"?" |"="
|"{" |"}" | SP | HT

文本是：

1
2
TEXT = <any OCTET except CTLs,
but including LWS>

其中lws是线性空白，其定义我不会复制，而octet是：

1
OCTET =

定义后附有注释：

1
2
3
4
5
The TEXT rule is only used for descriptive field contents and values
that are not intended to be interpreted by the message parser. Words
of *TEXT MAY contain characters from character sets other than ISO-
8859-1 [22] only when encoded according to the rules of RFC 2047
[14].

所以，有两个结论。首先，很明显，标题名必须由ASCII字符的子集组成——字母数字、一些标点符号，而不是很多其他字符。其次，头值的定义中没有任何限制它为ASCII或排除8位字符的内容：它显式地由八位字节组成，只禁止控制字符(请注意，CR和LF被视为控制字符)。此外，对文本生成的评论意味着八位字节将被解释为在ISO-8859-1中，并且存在一种编码机制(这是可怕的，顺便说一下)来表示该编码之外的字符。
因此，要特别响应@balusc，很明显根据规范，头值在iso-8859-1中。我在Tomcat的头中发送了high-8859-1字符(特别是一些法语中使用的重音元音)，并让火狐正确地解释了这些字符，因此在某种程度上，这在实践中和理论上都有效(尽管这是一个包含URL的位置头，而这些字符在URL中是不合法的，所以这实际上是非法，但根据不同的规则！).
也就是说，我不会依赖于在所有服务器、代理和客户机上工作的ISO-8859-1，所以我将坚持使用ASCII作为防御编程的一个问题。

相关讨论

新的HTTP规范rfc7230说，"新定义的头字段应该将其字段值限制为US-ASCII八位字节。"

修改或更准确地说，添加额外的HTTP头是一个很好的代码调试工具(如果没有其他的话)。
当URL请求返回重定向或图像时，没有HTML"page"可临时将调试代码的结果写入-至少没有浏览器中可见的结果。
一种方法是将数据写入本地日志文件，然后查看该文件。另一种方法是临时添加反映正在调试的数据和变量的HTTP头。
我经常添加额外的HTTP头，比如x-fubar-somevar:或者x-testing-someresult:来测试东西，并且发现了很多本来很难跟踪的错误。

相关讨论

他为什么要用这个"标准"？收割台的工作原理相同。即使有"谁曾经读过"这个前缀也是"哑"的…

@DanfromGermany不区分大小写吗？

头字段名称注册表是在rfc3864中定义的，并且"x-"没有特殊的地方。
据我所知，没有关于私有头的指导原则；如果有疑问，请避免使用它们。或者看看HTTP扩展框架(RFC2774)。
了解更多的用例会很有趣；为什么不能将信息添加到消息体中？

相关讨论

我考虑一些自定义头的主要原因是这样我就可以在不解析主体的情况下做出路由决策…

RFC6648建议您假设您的自定义头"可能会成为标准化的、公共的、通常部署的或在多个实现之间可用的。"因此，它建议不要在它前面加上"x-"或类似的构造。
但是，有一个例外，"当(您的头)极不可能被标准化时。"对于这种"特定于实现和私有使用"的头，RFC说，像供应商前缀这样的名称空间是合理的。

相关讨论

"rfc6648建议您假设您的自定义头"可能成为标准化的、公共的、通常部署的，或者可以跨多个实现使用。"我认为这给出了使用X-前缀的原因，因为没有任何前缀的东西更有可能成为标准化的。

REST HTTP状态代码，用于验证失败或重复无效

关于休息：将API密钥放在标题或URL中

http标头值的最大值？

关于休息：HTTP GET请求正文

用于更新和删除的HTTP状态代码？

如何使用java.net.URLConnection来触发和处理HTTP请求

403 Forbidden vs 401 Unauthorized HTTP响应

如何在HTTP POST请求中发送参数？