HTTP/2

• 启动 HTTP/2（第 3 节）涵盖了如何启动 HTTP/2 连接。
• 帧层（第 4 节）和流层（第 5 节）描述了 HTTP/2 帧的结构以及如何形成复用流。
• 帧（第 6 节）和错误（第 7 节）定义包含了 HTTP/2 中使用的帧和错误类型的详尽信息。
• HTTP 映射（第 8 节）和附加要求（第 9 节）描述了如何使用帧和流来表达 HTTP 语义。

虽然某些帧和流层的概念与 HTTP 是分离的，但本规范并不定义一个完全通用的帧层。帧和流层是为满足 HTTP 的需求而定制的。

在本文档中，关键字 "MUST"、"MUST NOT"、"REQUIRED"、"SHALL"、"SHALL NOT"、"SHOULD"、"SHOULD NOT"、"RECOMMENDED"、"NOT RECOMMENDED"、"MAY" 和 "OPTIONAL" 的解释应当按照 BCP 14 中的定义来理解，且仅当它们以全大写形式出现时，如此处所示。[RFC2119] [RFC8174]

所有数值均采用网络字节序。除非另有说明，值为无符号。字面值以十进制或十六进制表示，视情况而定。十六进制字面值以 "0x" 为前缀以区别于十进制字面值。

本规范使用 第 1.3 节 中描述的约定来描述二进制格式（见 RFC 9000 [QUIC]）。注意该格式使用网络字节序，并且高位比特在前，低位比特在后。

client:

发起 HTTP/2 连接的端点。客户端发送 HTTP 请求并接收 HTTP 响应。

connection:

两个端点之间的传输层连接。

connection error:

影响整个 HTTP/2 连接的错误。

endpoint:

连接的一端，指客户端或服务器中的任意一方。

frame:

HTTP/2 连接内的最小通信单元，由一个头部和根据帧类型结构化的可变长度八位组序列组成。

peer:

一个端点。当讨论特定端点时，“peer” 指的是相对于主要讨论对象的远端端点。

receiver:

接收帧的端点。

sender:

发送帧的端点。

server:

接受 HTTP/2 连接的端点。服务器接收 HTTP 请求并发送 HTTP 响应。

stream:

HTTP/2 连接内的双向帧流。

stream error:

单个 HTTP/2 流上的错误。

最后，术语 "gateway"、"intermediary"、"proxy" 和 "tunnel" 在 RFC 9110 第 3.7 节 中定义（见 [HTTP]）。中间件在不同时候既充当客户端又充当服务器的角色。

消息主体中“内容”一词的含义在 RFC 9110 第 6.4 节 中定义（见 [HTTP]）。

本文档定义的协议有两个标识符。基于任一标识符创建连接都意味着使用本文档中描述的传输、分帧和消息语义。

• 字符串 "h2" 标识在使用传输层安全（TLS）的情况下的协议；参见 第 9.2 节。该标识符用于 TLS 的 ALPN 扩展 字段，并在任何标识通过 TLS 的 HTTP/2 的地方使用。

  字符串 "h2" 被序列化为 ALPN 协议标识符时为两个八位组序列：0x68, 0x32。

• 字符串 "h2c" 以前用于 HTTP Upgrade 机制的 Upgrade 首部字段中的令牌（参见 RFC 9110 第 7.8 节）。该用法从未被广泛部署，并在本文档中被弃用。与之相关的 HTTP2-Settings 首部字段在用于升级到 "h2c" 时也同样被弃用。

向 "https" URI 发出请求的客户端使用 TLS [TLS13]，并使用 ALPN 扩展 [TLS-ALPN]。

在 TLS 上的 HTTP/2 使用 "h2" 协议标识符。客户端不得发送或服务器不得选择 "h2c" 协议标识符；"h2c" 描述的是不使用 TLS 的协议。

一旦 TLS 协商完成，客户端和服务器都 MUST 发送连接前言（第 3.4 节）。

客户端可以通过其他方式获知特定服务器支持 HTTP/2。例如，客户端可以被配置为知道某个服务器支持 HTTP/2。

知道服务器支持 HTTP/2 的客户端可以建立 TCP 连接并发送连接前言（第 3.4 节）随后发送 HTTP/2 帧。服务器可以通过连接前言的存在来识别这些连接。这仅影响通过明文 TCP 建立的 HTTP/2 连接；通过 TLS 的 HTTP/2 连接 MUST 使用 TLS 中的协议协商 [TLS-ALPN]。

同样，服务器 MUST 发送连接前言（第 3.4 节）。

在没有额外信息的情况下，先前支持 HTTP/2 并不能强烈表明给定服务器将来仍会支持 HTTP/2。例如，服务器配置可能发生变化，集群中不同实例之间的配置可能不同，或网络条件可能发生变化。

在 HTTP/2 中，每个端点都必须发送连接前言，以最终确认所使用的协议并为 HTTP/2 连接建立初始设置。客户端和服务器各自发送不同的连接前言。

  0x505249202a20485454502f322e300d0a0d0a534d0d0a0d0a

即，连接前言以字符串 "PRI * HTTP/2.0\r\n\r\nSM\r\n\r\n" 开始。此序列 MUST 后接一个 SETTINGS 帧（第 6.5 节），该帧 MAY 为空。客户端将客户端连接前言作为连接的第一个应用数据八位组发送。

服务器连接前言由一个可能为空的 SETTINGS 帧组成（第 6.5 节），该帧 MUST 是服务器在 HTTP/2 连接中发送的第一个帧。

作为连接前言一部分从对端收到的 SETTINGS 帧 MUST 在发送连接前言后被确认（参见 第 6.5.3 节）。

为避免不必要的延迟，客户端允许在发送客户端连接前言后立即向服务器发送额外的帧，而无需等待接收服务器连接前言。但需要注意的是，服务器连接前言的 SETTINGS 帧可能包含必须更改客户端与服务器通信方式的设置。收到 SETTINGS 帧后，客户端应遵守所建立的任何设置。在某些配置中，服务器可能在客户端发送额外帧之前先发送 SETTINGS，从而避免该问题。

客户端和服务器 MUST 将无效的连接前言视为一种连接错误（第 5.4.1 节），错误类型为 PROTOCOL_ERROR。在这种情况下可以省略 GOAWAY 帧（第 6.8 节），因为无效的前言表明对端未使用 HTTP/2。

所有帧以固定的 9 八位组头部开始，随后是可变长度的帧负载。

Length:

帧负载的长度，以无符号 24 位整数表示，单位为八位组。除非接收方为 SETTINGS_MAX_FRAME_SIZE 设置了更大的值，否则不得发送大于 2¹⁴（16,384）的值。

帧头的 9 个八位组不计入该值。

Type:

帧的 8 位类型。帧类型决定帧的格式和语义。本文档中定义的帧列在 第 6 节 中。实现 MUST 忽略并丢弃未知类型的帧。

Flags:

一个 8 位字段，保留给与帧类型相关的布尔标志。

标志的语义由指定的帧类型定义。未使用的标志指在特定帧类型下没有定义语义的标志。未使用的标志在接收时 MUST 被忽略，发送时 MUST 保持未置位（0x00）。

Reserved:

一个保留的 1 位字段。该位的语义未定义，发送时 MUST 保持未置位（0x00），接收时 MUST 被忽略。

Stream Identifier:

流标识符（参见 第 5.1.1 节）以无符号 31 位整数表示。值 0x00 保留给与整个连接相关而非某个单独流相关的帧。

帧负载的结构和内容完全取决于帧类型。

帧负载的大小受接收方在 SETTINGS_MAX_FRAME_SIZE 设置中通告的最大值限制。该设置可以取值在 2¹⁴（16,384）到 2²⁴-1（16,777,215）八位组之间的任意值，含端点。

所有实现 MUST 能够接收并最小限度处理长度达 2¹⁴ 八位组的帧，外加 9 八位组的帧头（第 4.1 节）。描述帧大小时不包括帧头的大小。

如果帧超出 SETTINGS_MAX_FRAME_SIZE 中定义的大小、超出为该帧类型定义的任何限制，或太小以致无法包含强制性帧数据，则端点 MUST 发送错误代码 FRAME_SIZE_ERROR。在可能改变整个连接状态的帧中出现的帧大小错误 MUST 被视为连接错误（第 5.4.1 节）；这包括任何携带字段块（第 4.3 节）（即 HEADERS、PUSH_PROMISE 和 CONTINUATION）、SETTINGS 帧，以及任何流标识为 0 的帧。

端点没有义务使用帧中所有可用空间。使用小于允许最大值的帧可以提高响应性。发送大的帧可能会导致发送时间敏感的帧（例如 RST_STREAM、WINDOW_UPDATE 或 PRIORITY）的延迟，如果这些时间敏感帧被较大的帧阻塞，可能会影响性能。

字段段压缩是将一组字段行（参见 RFC 9110 第 5.2 节）压缩以形成字段块的过程。字段段解压缩是将字段块解码回字段行集合的过程。HTTP/2 字段段压缩与解压缩的细节在 [COMPRESSION] 中定义，该文档出于历史原因将这些过程称为头部压缩与解压缩。

每个字段块承载单个字段段的所有压缩字段行。头部段还包括以伪首部字段形式存在的与消息相关的控制数据（见 第 8.3 节），其格式与字段行相同。

字段块承载请求、响应、承诺请求和推送响应的控制数据和头部段（参见 第 8.4 节）。除临时响应和包含在 PUSH_PROMISE（第 6.6 节）帧中的请求外，所有这些消息都可以选择性地包含承载尾部段的字段块。

字段段是字段行的集合。字段块中的每个字段行承载单个值。序列化后的字段块随后被划分为一个或多个八位组序列，称为字段块片段。第一个字段块片段在 HEADERS（第 6.2 节）或 PUSH_PROMISE（第 6.6 节）的帧负载中传输，后续字段块片段可以跟随 CONTINUATION（第 6.10 节）帧来承载。

Cookie header field 在 HTTP 映射中被特殊处理（见 第 8.2.3 节）。

接收端点通过将片段串联重组字段块，然后解压缩该块以重建字段段。

• 一个带有 END_HEADERS 标志已置位的单个 HEADERS 或 PUSH_PROMISE 帧，或
• 一个 END_HEADERS 标志未置位的 HEADERS 或 PUSH_PROMISE 帧以及一个或多个 CONTINUATION 帧，其中最后一个 CONTINUATION 帧的 END_HEADERS 标志已置位。

每个字段块作为一个离散单元进行处理。字段块 MUST 作为一连串连续的帧传输，不得与任何其他类型的帧或来自任何其他流的帧交错。HEADERS 或 CONTINUATION 帧序列中的最后一帧具有 END_HEADERS 标志。PUSH_PROMISE 或 CONTINUATION 帧序列中的最后一帧也具有 END_HEADERS 标志。这使得字段块在逻辑上等价于单个帧。

字段块片段只能作为 HEADERS、PUSH_PROMISE 或 CONTINUATION 帧的帧负载发送，因为这些帧携带可能修改接收方维护的压缩上下文的数据。接收 HEADERS、PUSH_PROMISE 或 CONTINUATION 帧的端点需要重组字段块并执行解压缩，即使这些帧将被丢弃。接收方 MUST 在不能对字段块进行解压缩时以连接错误（第 5.4.1 节）的类型 COMPRESSION_ERROR 终止连接。

字段块解码错误 MUST 被视为连接错误（第 5.4.1 节）且类型为 COMPRESSION_ERROR。

流的生命周期如图 2所示。

send:

端点发送该帧

recv:

端点接收该帧

H:

HEADERS 帧（含隐含的 CONTINUATION 帧）

ES:

END_STREAM 标志

R:

RST_STREAM 帧

PP:

PUSH_PROMISE 帧（含隐含的 CONTINUATION 帧）；状态转换针对被承诺的流

注意此图仅显示流状态转换以及影响这些转换的帧和标志。在这方面，CONTINUATION 帧不会导致状态转换；它们实际上是所跟随的 HEADERS 或 PUSH_PROMISE 的一部分。就状态转换而言，END_STREAM 标志被作为与承载它的帧分离的单独事件来处理；带有 END_STREAM 标志的 HEADERS 帧可能会导致两个状态转换。

双方对流状态有主观视图，当有帧在传输中时双方的视图可能不同。端点不会协调流的创建；流由任一端点单方面创建。状态不匹配的负面影响仅限于发送 RST_STREAM 后的“closed”状态，在该状态下可能在一段时间内仍然接收到帧。

idle:

所有流以“idle”（空闲）状态开始。

从该状态的有效转换如下：

• 作为客户端发送 HEADERS 帧，或作为服务器接收 HEADERS 帧，会使流变为“open”（打开）。流标识符按 第 5.1.1 节 所述选择。相同的 HEADERS 帧也可能使流立即变为“half-closed”。
• 在另一个流上发送 PUSH_PROMISE 帧会为之后使用保留一个空闲流。该被保留的流状态转换为“reserved (local)”。只有服务器可以发送 PUSH_PROMISE 帧。
• 在另一个流上接收 PUSH_PROMISE 帧会为之后使用保留一个空闲流。该被保留的流状态转换为“reserved (remote)”。只有客户端可以接收 PUSH_PROMISE 帧。
• 注意 PUSH_PROMISE 帧不是在被保留的空闲流上发送的，而是在 Promised Stream ID 字段中引用新保留的流。
• 使用较大编号的流标识符打开流会导致该流立即转换为“closed”；注意该转换未画在图中。

在此状态上接收除 HEADERS 或 PRIORITY 以外的任何帧，MUST 将其视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。如果该流是由服务器发起（见 第 5.1.1 节），则接收 HEADERS 帧 MUST 也被视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。

reserved (local):

“reserved (local)” 状态的流是通过发送 PUSH_PROMISE 帧而被承诺的流。PUSH_PROMISE 帧通过将该流与由远端对端发起的打开流相关联来保留一个空闲流（见 第 8.4 节）。

在此状态下，仅允许以下转换：

• 端点可以发送 HEADERS 帧。这会使流以“half-closed (remote)” 状态打开。
• 任一端点可以发送 RST_STREAM 帧使该流变为“closed”，从而释放该流的保留。

端点在该状态下MUST NOT发送除 HEADERS、RST_STREAM 或 PRIORITY 以外的任何类型的帧。

在此状态下可以接收 PRIORITY 或 WINDOW_UPDATE 帧。接收除 RST_STREAM、PRIORITY 或 WINDOW_UPDATE 以外的任何帧，MUST 被视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。

reserved (remote):

“reserved (remote)” 状态的流已被远端对等方保留。

在此状态下，仅允许以下转换：

• 接收 HEADERS 帧会使流转换为“half-closed (local)”。
• 任一端点可以发送 RST_STREAM 帧使该流变为“closed”，从而释放该流的保留。

端点在该状态下MUST NOT发送除 RST_STREAM、WINDOW_UPDATE 或 PRIORITY 以外的任何类型的帧。

在此状态上接收除 HEADERS、RST_STREAM 或 PRIORITY 以外的任何帧，MUST 被视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。

open:

处于“open”状态的流可由双方用于发送任意类型的帧。在此状态中，发送方须遵守已通告的流级别流量控制限制（见 第 5.2 节）。

在该状态下，任一端点可以发送带有 END_STREAM 标志的帧，这会使流转换到某一“half-closed”状态。发送 END_STREAM 标志的端点会使流变为“half-closed (local)”；接收 END_STREAM 标志的端点会使流变为“half-closed (remote)”。

任一端点可以从该状态发送 RST_STREAM 帧，使其立即转换为“closed”。

half-closed (local):

处于“half-closed (local)” 的流不能用于发送除 WINDOW_UPDATE、PRIORITY 和 RST_STREAM 以外的帧。

当接收到带有 END_STREAM 标志的帧或任一对等方发送 RST_STREAM 帧时，该流会从此状态转换为“closed”。

在此状态下可以接收任何类型的帧。为继续接收受流控的帧，需要使用 WINDOW_UPDATE 帧提供流量控制额度。在发送带有 END_STREAM 标志的帧后的一段短时间内，接收方可以忽略到达的 WINDOW_UPDATE 帧。

此状态下可以接收 PRIORITY 帧。

half-closed (remote):

处于“half-closed (remote)” 的流不再被对端用于发送帧。在此状态下，端点不再有义务维护接收方的流量控制窗口。

如果端点在该状态下接收到除 WINDOW_UPDATE、PRIORITY 或 RST_STREAM 以外的其他帧，MUST 使用类型为 STREAM_CLOSED 的流错误进行响应（见 第 5.4.2 节）。

“half-closed (remote)” 状态的流仍可由端点用来发送任意类型的帧。在此状态中，端点继续遵守已通告的流级别流量控制限制（见 第 5.2 节）。

该流可通过发送带有 END_STREAM 标志的帧或任一对等方发送 RST_STREAM 帧而转换为“closed”。

closed:

“closed” 状态为终止状态。

当端点既发送又接收了带有 END_STREAM 标志的帧后，流进入“closed”状态。端点发送或接收 RST_STREAM 帧后，流也会进入“closed”状态。

端点MUST NOT在已关闭的流上发送除 PRIORITY 以外的帧。端点MAY将接收已关闭流上任何其他类型的帧视为类型为 STREAM_CLOSED 的连接错误（见 第 5.4.1 节），但有如下说明。

在对等方接收并处理使流进入“closed”状态的帧之前，发送了带有 END_STREAM 标志或 RST_STREAM 帧的端点可能会收到来自其对等方的 WINDOW_UPDATE 或 RST_STREAM 帧。

在“open”或“half-closed (local)” 状态的流上发送 RST_STREAM 帧的端点可能会收到任意类型的帧。对等方可能在处理 RST_STREAM 帧之前已发送或排队发送了这些帧。端点MUST 对在该状态收到的帧执行最小处理然后丢弃。这意味着要更新 HEADERS 和 PUSH_PROMISE 帧的头部压缩状态。接收 PUSH_PROMISE 帧也会导致被承诺的流变为“reserved (remote)”，即使该 PUSH_PROMISE 帧是收到在已关闭的流上。同时，DATA 帧的内容计入连接的流量控制窗口。

端点可以对所有处于“closed”状态的流执行此最小处理。端点MAY使用其他信号来检测对等方已接收导致流进入“closed”状态的帧，并将除 PRIORITY 以外的任何帧的接收视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。端点可以使用指示对等方已接收关闭信号的帧来驱动此行为。端点SHOULD NOT 使用定时器来完成此目的。例如，在关闭流后发送 SETTINGS 帧的端点，在接收到该设置的确认后，可以安全地将随后在该流上接收的 DATA 帧视为错误。其他可用的信号可能包括 PING 帧、在关闭流后创建的流上接收数据，或对关闭流后创建的请求的响应。

在没有更具体规则的情况下，实现者SHOULD将接收在某状态描述中未明确允许的帧视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。注意 PRIORITY 可以在任何流状态中发送和接收。

本节中的规则仅适用于本文档定义的帧。对于其语义未知的帧的接收不能被视为错误，因为这些帧的发送和接收条件也未知；参见 第 5.5 节。

关于 HTTP 请求/响应交换的状态转换示例可见于 第 8.8 节。服务器推送的状态转换示例可见于 第 8.4.1 节 和 第 8.4.2 节。

在流上进行复用会引入对同一 TCP 连接使用的争用，从而导致流被阻塞。流量控制机制确保同一连接上的各流不会相互破坏性地干扰。流量控制既用于单个流，也用于整个连接。

HTTP/2 通过使用 WINDOW_UPDATE 帧（见 第 6.9 节）提供流量控制。

在像 HTTP/2 这样的复用协议中，为流分配带宽和计算资源的优先级安排对获得良好性能至关重要。糟糕的优先级方案可能导致 HTTP/2 性能变差。在 TCP 层没有并行性的情况下，性能甚至可能显著低于 HTTP/1.1。

良好的优先级方案受益于上下文相关知识的应用，例如资源内容、资源之间的相互关系以及这些资源将如何被对等方使用。特别是，客户端可以掌握有关请求优先级的知识，这对于服务器的优先级安排是有用的。在这些情况下，让客户端提供优先级信息可以提高性能。

• 使整个连接不可用的错误条件称为连接错误。
• 发生在单个流上的错误称为流错误。

错误代码列表见 第 7 节。

端点在处理过程中可能会遇到会导致多个错误的帧。实现者MAY在处理时发现多个错误，但SHOULD最多报告一个流错误和一个连接错误。

对给定流报告的第一个流错误会阻止该流上报告任何其他错误。相比较，协议允许发送多个 GOAWAY 帧，但端点SHOULD仅报告一种连接错误，除非在优雅关闭期间遇到错误。如果发生这种情况，端点MAY在已有包含 NO_ERROR 的 GOAWAY 后，发送一个带有新错误码的额外 GOAWAY。

如果端点检测到多个不同错误，它MAY选择报告其中任意一个。如果某帧导致连接错误，则必须报告该错误。此外，端点MAY在检测到错误条件时使用任何适用的错误码；可以始终使用通用错误码（如 PROTOCOL_ERROR 或 INTERNAL_ERROR）代替更具体的错误码。

HTTP/2 允许对协议进行扩展。在本节所述的限制范围内，协议扩展可用于提供附加服务或更改协议的任何方面。扩展仅在单个 HTTP/2 连接的范围内生效。

这适用于本文档中定义的协议元素。这不影响扩展 HTTP 的现有选项，例如定义新的方法、状态码或字段（参见 RFC 9110 第 16 节）。

扩展允许使用新的帧类型（见 第 4.1 节）、新的设置（见 第 6.5 节）或新的错误码（见 第 7 节）。用于管理这些扩展点的登记表在 RFC 7540 第 11 节 中定义。

实现者MUST忽略可扩展协议元素中未知或不支持的值。实现者MUST丢弃具有未知或不支持类型的帧。这意味着任何这些扩展点都可以在无需事先安排或协商的情况下由扩展安全使用。然而，出现在字段块中间的扩展帧（见 第 4.3 节）是不允许的；这些帧MUST 被视为类型为 PROTOCOL_ERROR 的连接错误（见 第 5.4.1 节）。

扩展SHOULD避免更改本文档中定义的协议元素或未定义扩展机制的元素。这包括更改帧布局、对将帧组成 HTTP 消息的方式的添加或更改（见 第 8.1 节）、伪首部字段的定义，或更改任何合规端点可能将其视为连接错误的协议元素（见 第 5.4.1 节）。

更改现有协议元素或状态的扩展MUST在使用前进行协商。例如，改变 HEADERS 帧布局的扩展在对端发出接受该改变的积极信号之前不得使用。在这种情况下，可能还需要协调何时使修订后的布局生效。例如，将除 DATA 帧以外的帧视为受流量控制需要双方都理解的语义改变，因此只能通过协商来完成。

本文档不强制规定用于协商扩展的具体方法，但注意到可以使用一个设置（见 第 6.5.2 节）来实现该目的。如果双方都设置了表明愿意使用该扩展的值，则可以使用该扩展。如果使用设置进行扩展协商，则必须以使扩展初始处于禁用状态的方式定义该设置的初始值。

DATA 帧（type=0x00）传输与流相关的任意可变长度八位组序列。例如，一个或多个 DATA 帧用于承载 HTTP 请求或响应的消息内容。

DATA 帧MAY也可以包含填充（padding）。可以向 DATA 帧添加填充以掩盖消息的实际长度。填充是一种安全特性；参见 第 10.7 节。

Pad Length:

一个 8 位字段，包含帧填充的长度（以八位组为单位）。仅当 PADDED 标志被置位时才存在此字段。

Data:

应用数据。数据的长度为在减去存在的其他字段长度后帧负载中剩余的部分。

Padding:

不含应用语义的填充八位组。发送时填充八位组MUST被设置为零。接收方没有义务验证填充，但可以将非零填充视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PADDED (0x08):

置位时表示存在 Pad Length 字段及其描述的任何填充。

END_STREAM (0x01):

置位时表示该帧是端点为标识流发送的最后一个帧。设置该标志会使流进入某个“half-closed”状态或“closed”状态（参见 第 5.1 节）。

DATA 帧MUST关联到某个流。如果接收到 Stream Identifier 字段为 0x00 的 DATA 帧，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

DATA 帧受流量控制约束，只能在流处于“open”或“half-closed (remote)”状态时发送。整个 DATA 帧负载都计入流量控制，包括 Pad Length 和 Padding 字段（如存在）。如果接收到的 DATA 帧所属流不处于“open”或“half-closed (local)”状态，接收方MUST以类型为 STREAM_CLOSED 的流错误进行响应（参见 第 5.4.2 节）。

填充八位组的总数由 Pad Length 字段的值决定。如果填充长度等于或大于帧负载长度，接收方MUST将其视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

HEADERS 帧（type=0x01）用于打开流（参见 第 5.1 节），并携带字段块片段。尽管名称为 HEADERS，HEADERS 帧既可以承载头部段也可以承载尾部段。HEADERS 帧可以在流处于“idle”、“reserved (local)”、“open”或“half-closed (remote)”状态时发送。

Pad Length:

一个 8 位字段，包含帧填充的长度（以八位组为单位）。仅当 PADDED 标志被置位时才存在此字段。

Exclusive:

一个单比特标志。仅当 PRIORITY 标志被置位时才存在此字段。HEADERS 帧中的优先级信号已被弃用；参见 第 5.3.2 节。

Stream Dependency:

一个 31 位流标识符。仅当 PRIORITY 标志被置位时才存在此字段。

Weight:

一个无符号 8 位整数。仅当 PRIORITY 标志被置位时才存在此字段。

Field Block Fragment:

字段块片段（参见 第 4.3 节）。

Padding:

不含应用语义的填充八位组。发送时填充八位组MUST被设置为零。接收方没有义务验证填充，但可以将非零填充视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PRIORITY (0x20):

置位时表示 Exclusive、Stream Dependency 和 Weight 字段存在。

PADDED (0x08):

置位时表示 Pad Length 字段及其描述的任何填充存在。

END_HEADERS (0x04):

置位时表示该帧包含完整的字段块（参见 第 4.3 节），并且后面不再跟随任何 CONTINUATION 帧。

若 HEADERS 帧未置 END_HEADERS 标志，则MUST由同一流的 CONTINUATION 帧继续。接收方MUST将任何其他类型的帧或来自不同流的帧视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

END_STREAM (0x01):

置位时表示该字段块（参见 第 4.3 节）是端点为标识流发送的最后一个字段块。

带有 END_STREAM 标志的 HEADERS 帧表示流的结束。但是，带有 END_STREAM 标志的 HEADERS 帧之后可以跟随同一流的 CONTINUATION 帧。从逻辑上讲，这些 CONTINUATION 帧是 HEADERS 帧的一部分。

HEADERS 帧的帧负载包含字段块片段（参见 第 4.3 节）。不能完全放入 HEADERS 帧的字段块将在 CONTINUATION 帧中继续（参见 第 6.10 节）。

HEADERS 帧MUST关联到某个流。如果接收到 Stream Identifier 字段为 0x00 的 HEADERS 帧，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

HEADERS 帧按照 第 4.3 节 描述的方式改变连接状态。

填充八位组的总数由 Pad Length 字段的值决定。如果填充长度等于或大于帧负载长度，接收方MUST将其视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PRIORITY 帧（type=0x02）已被弃用；参见 第 5.3.2 节。PRIORITY 帧可以在任何流状态发送，包括 idle 或 closed 流。

Exclusive:

一个单比特标志。

Stream Dependency:

一个 31 位流标识符。

Weight:

一个无符号 8 位整数。

PRIORITY 帧不定义任何标志。

PRIORITY 帧总是标识一个流。如果接收到的 PRIORITY 帧的流标识符为 0x00，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

发送或接收 PRIORITY 帧不会影响任何流的状态（参见 第 5.1 节）。PRIORITY 帧可以在任何状态的流上发送，包括 "idle" 或 "closed"。PRIORITY 帧不得发送在构成单个字段块的连续帧之间（参见 第 4.3 节）。

长度不是 5 个八位组的 PRIORITY 帧MUST被视为类型为 FRAME_SIZE_ERROR 的流错误（参见 第 5.4.2 节）。

RST_STREAM 帧（type=0x03）允许立即终止流。发送 RST_STREAM 用于请求取消流或指示已发生错误情况。

Length、Type、Unused Flag(s)、Reserved 和 Stream Identifier 字段在 第 4 节 中描述。此外，RST_STREAM 帧包含一个无符号 32 位整数，标识错误码（参见 第 7 节）。该错误码指示流被终止的原因。

RST_STREAM 帧不定义任何标志。

RST_STREAM 帧会完全终止被引用的流并使其进入“closed”状态。接收到针对某流的 RST_STREAM 后，接收方MUST NOT为该流发送额外的帧（PRIORITY 除外）。然而，在发送 RST_STREAM 之后，发送端MUST准备接收并处理可能在对端处理到 RST_STREAM 之前已发送或已排队的额外帧。

RST_STREAM 帧MUST关联到某个流。如果接收到 Stream Identifier 字段为 0x00 的 RST_STREAM 帧，接收方MUST将其视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

不得对处于“idle”状态的流发送 RST_STREAM 帧。如果接收到标识空闲流的 RST_STREAM 帧，接收方MUST将其视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

长度不是 4 个八位组的 RST_STREAM 帧MUST被视为类型为 FRAME_SIZE_ERROR 的连接错误（参见 第 5.4.1 节）。

SETTINGS 帧（type=0x04）传递影响端点通信方式的配置参数，例如对等方行为的偏好和约束。SETTINGS 帧也用于确认接收到的这些设置。SETTINGS 帧中的单个配置参数称为“setting”。

设置不是协商的；它们描述发送方的特性，由接收方使用。各对等方可以为同一设置通告不同的值。例如，客户端可能设置较大的初始流量控制窗口，而服务器可能设置较小的值以节约资源。

在连接开始时，双方端点MUST发送 SETTINGS 帧，并且在连接的整个生命周期内任一端点MAY在任何时候发送 SETTINGS 帧。实现MUST支持本规范定义的所有设置。

SETTINGS 帧中的每个参数会替换该参数的任何现有值。设置按出现顺序处理，接收 SETTINGS 帧的一方不需要维护除每个设置当前值之外的任何状态。因此，SETTINGS 参数的值为接收方最后看到的值。

ACK (0x01):

置位时表示该帧确认已接收并应用了对等方的 SETTINGS 帧。置位该位时，SETTINGS 帧的帧负载MUST为空。接收带有 ACK 标志且长度字段不为 0 的 SETTINGS 帧MUST被视为类型为 FRAME_SIZE_ERROR 的连接错误（参见 第 5.4.1 节）。更多信息见 第 6.5.3 节（“Settings Synchronization”）。

SETTINGS 帧始终适用于连接，而不是单个流。SETTINGS 帧的流标识符MUST为 0x00。如果接收到的 SETTINGS 帧的 Stream Identifier 字段不是 0x00，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

SETTINGS 帧影响连接状态。格式错误或不完整的 SETTINGS 帧MUST被视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

长度不是 6 的倍数的 SETTINGS 帧MUST被视为类型为 FRAME_SIZE_ERROR 的连接错误（参见 第 5.4.1 节）。

PUSH_PROMISE 帧（type=0x05）用于提前通知对等端点发送方打算发起的流。PUSH_PROMISE 帧包含发送方计划创建的流的无符号 31 位标识符，以及提供该流上下文的字段段。第 8.4 节 对 PUSH_PROMISE 的使用进行了详尽描述。

Pad Length:

一个 8 位字段，包含帧填充的长度（以八位组为单位）。仅当 PADDED 标志被置位时才存在此字段。

Promised Stream ID:

一个无符号 31 位整数，标识被 PUSH_PROMISE 保留的流。被承诺的流标识符MUST为发送方下一次发送流时的合法选择（参见 第 5.1.1 节 中的“new stream identifier”）。

Field Block Fragment:

字段块片段（参见 第 4.3 节），包含请求控制数据和头部段。

Padding:

不含应用语义的填充八位组。发送时填充八位组MUST被设置为零。接收方没有义务验证填充，但可以将非零填充视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PADDED (0x08):

置位时表示存在 Pad Length 字段及其描述的任何填充。

END_HEADERS (0x04):

置位时表示该帧包含完整的字段块（参见 第 4.3 节），并且后面不再跟随任何 CONTINUATION 帧。

若 PUSH_PROMISE 帧未置 END_HEADERS 标志，则MUST由同一流的 CONTINUATION 帧继续。接收方MUST将任何其他类型的帧或来自不同流的帧视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PUSH_PROMISE 帧MUST仅发送在对等方发起并处于“open”或“half-closed (remote)”状态的流上。PUSH_PROMISE 的 Stream Identifier 字段指示它所关联的流。如果 Stream Identifier 字段为 0x00，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

被承诺的流不必按承诺顺序使用。PUSH_PROMISE 仅为稍后使用保留流标识符。

如果对等端点的 SETTINGS_ENABLE_PUSH 设置为 0，则不得发送 PUSH_PROMISE。将该设置设为 0 并收到确认的端点MUST将接收 PUSH_PROMISE 视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PUSH_PROMISE 的接收方可以通过对被承诺的流返回引用该被承诺流标识符的 RST_STREAM 来选择拒绝被承诺的流。

PUSH_PROMISE 帧以两种方式修改连接状态。首先，包含字段块（参见 第 4.3 节）可能修改接收方为字段段压缩维护的状态。其次，PUSH_PROMISE 还为稍后使用保留一个流，使被承诺流进入“reserved (local)”或“reserved (remote)”状态。发送方MUST NOT在流既非“open”也非“half-closed (remote)”的情况下发送 PUSH_PROMISE；发送方MUST确保被承诺的流对于新的流标识符是有效的选择（参见 第 5.1.1 节）（即，被承诺的流MUST处于“idle”状态）。

由于 PUSH_PROMISE 会保留流，忽略 PUSH_PROMISE 将导致该流状态变得不确定。接收方MUST将对既不处于“open”也不处于“half-closed (local)”状态的流上接收 PUSH_PROMISE 视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。但是，在关联流上已发送 RST_STREAM 的端点MUST处理可能在接收并处理 RST_STREAM 之前创建的 PUSH_PROMISE 帧。

接收方MUST将承诺非法流标识符的 PUSH_PROMISE（参见 第 5.1.1 节）视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。注意，非法流标识符指的是不是当前处于“idle”状态的流的标识符。

填充八位组的总数由 Pad Length 字段的值决定。如果填充长度等于或大于帧负载长度，接收方MUST将其视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

PING 帧（type=0x06）是一种测量发送方最小往返时间并确定空闲连接是否仍然可用的机制。PING 帧可以由任一端点发送。

Length、Type、Unused Flag(s)、Reserved 和 Stream Identifier 字段在 第 4 节 中描述。

除了帧头外，PING 帧MUST在帧负载中包含 8 个字节的不透明数据。发送方可以选择任意值并以任意方式使用这些八位组。

接收未包含 ACK 标志的 PING 帧的接收方MUST发送一个带有 ACK 标志的 PING 帧作为响应，且帧负载应与原始帧相同。PING 响应SHOULD被赋予比其他任何帧更高的优先级。

ACK (0x01):

置位时表示该 PING 帧为 PING 响应。接收方MUST在 PING 响应中置位该标志。含该标志的 PING 帧MUST NOT再被响应。

PING 帧不关联到任何单独的流。如果接收到 Stream Identifier 字段值不是 0x00 的 PING 帧，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

长度字段值不是 8 的 PING 帧的接收应被视为类型为 FRAME_SIZE_ERROR 的连接错误（参见 第 5.4.1 节）。

GOAWAY 帧（type=0x07）用于启动连接关闭或指示严重错误条件。GOAWAY 允许端点优雅地停止接受新流，同时继续完成对先前已建立流的处理。这使得诸如服务器维护等管理操作成为可能。

在端点启动新流与远端发送 GOAWAY 帧之间存在固有的竞争条件。为处理这种情况，GOAWAY 包含发送端可能已处理或可能处理的最后一个由对端发起的流的流标识符。例如，如果服务器发送 GOAWAY，则该标识符为客户端所发起的编号最高的流。

一旦发送 GOAWAY，发送方将忽略对端在具有大于所包含最后流标识符的标识符上发送的帧。GOAWAY 的接收方MUST NOT在该连接上打开更多流，尽管可以为新流建立新连接。

如果 GOAWAY 的接收方已在标识符比 GOAWAY 指示值更高的流上发送数据，则这些流未被或将不会被处理。GOAWAY 的接收方可以将这些流视为从未被创建，从而允许这些流在新连接上稍后重试。

端点SHOULD在关闭连接之前始终发送 GOAWAY，以便远端可以知道某个流是否已被部分处理。例如，如果 HTTP 客户端在服务器关闭连接的同时发送了 POST，请求的客户端无法知道服务器是否开始处理该 POST，除非服务器发送 GOAWAY 来指示它可能已作用于哪些流。

端点可能选择在对方行为不当时关闭连接而不发送 GOAWAY。

GOAWAY 帧不一定紧跟在关闭连接之前；若接收方不再需要连接，仍应在终止连接之前发送 GOAWAY 帧。

Length、Type、Unused Flag(s)、Reserved 和 Stream Identifier 字段在 第 4 节 中描述。

GOAWAY 帧不定义任何标志。

GOAWAY 帧适用于连接，而非特定流。若接收到带有非 0x00 流标识符的 GOAWAY，端点MUST将其视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

GOAWAY 中的最后流标识符包含发送 GOAWAY 的一方可能已对其采取或可能采取动作的编号最高的流标识符。所有编号小于或等于该标识符的流都可能以某种方式被处理。若未处理任何流，则最后流标识符可设置为 0。

如果连接在没有 GOAWAY 帧的情况下终止，则最后流标识符实际相当于可能的最高流标识符。

对于编号小于或等于最后流标识符且在连接关闭前未完全关闭的流，无法重新尝试请求、事务或任何协议活动，惟可对幂等操作（如 HTTP GET、PUT 或 DELETE）进行重试。任何使用更高编号流的协议活动都可以安全地在新连接上重试。

编号小于或等于最后流标识符的流上的活动仍可能成功完成。GOAWAY 的发送者可以通过发送 GOAWAY 并在所有进行中的流完成之前保持连接“open”状态来优雅地关闭连接。

端点MAY在情况变化时发送多个 GOAWAY。例如，在优雅关闭期间发送带有 NO_ERROR 的 GOAWAY 后，端点可能遇到需要立即终止连接的情况。最后收到的 GOAWAY 中的最后流标识符表示哪些流可能已被作用。端点MUST NOT增加其在最后流标识符中发送的值，因为对等方可能已在另一连接上重试未处理的请求。

无法重试请求的客户端会在服务器关闭连接时失去所有在飞请求。这对于可能不使用 HTTP/2 与客户端通信的中间件尤为如此。试图优雅关闭连接的服务器SHOULD先发送一个最后流标识符设置为 2³¹-1 且错误码为 NO_ERROR 的初始 GOAWAY，向客户端表示即将关闭且禁止发起更多请求。在允许至少一个往返时间以便处理任何进行中的流创建后，服务器MAY发送另一个带有更新最后流标识符的 GOAWAY，从而确保连接可以在不丢失请求的情况下被干净地关闭。

在发送 GOAWAY 后，发送方可以丢弃由接收方发起且编号高于已指示最后流标识符的流的帧。然而，任何改变连接状态的帧不能完全被忽略。例如，HEADERS、PUSH_PROMISE 和 CONTINUATION 帧MUST被最小处理，以确保字段段压缩维护的状态一致（参见 第 4.3 节）；类似地，DATA 帧MUST计入连接的流量控制窗口。不处理这些帧会导致流量控制或字段段压缩状态不同步。

GOAWAY 帧还包含一个 32 位错误码（参见 第 7 节），指出关闭连接的原因。

端点MAY在任何 GOAWAY 帧的帧负载中附加不透明数据。附加调试数据仅用于诊断目的且不承载语义值。调试信息可能包含安全或隐私敏感数据。对日志或以其他方式持久保存的调试数据MUST采取足够的防护以防止未授权访问。

WINDOW_UPDATE 帧（type=0x08）用于实现流量控制；概述见 第 5.2 节。

流量控制在两个层面上运行：每个单独流以及整个连接。

这两类流量控制都是逐跳（hop-by-hop）的，即仅在两个端点之间。中间件不会在依赖的连接间转发 WINDOW_UPDATE 帧。然而，任何接收方对数据传输的节流都可能间接导致流量控制信息向原始发送方传播。

流量控制仅适用于被标识为受流控的帧。在本文档定义的帧类型中，仅包括 DATA 帧。免于流量控制的帧MUST被接受并处理，除非接收方无法分配资源来处理该帧。若接收方无法接受帧，接收方MAY以类型为 FLOW_CONTROL_ERROR 的流错误（参见 第 5.4.2 节）或连接错误（参见 第 5.4.1 节）作出响应。

Length、Type、Unused Flag(s)、Reserved 和 Stream Identifier 字段在 第 4 节 中描述。WINDOW_UPDATE 帧的帧负载由一位保留位加上一个无符号 31 位整数组成，该整数指示发送方可在现有流量控制窗口之外额外发送的八位组数。窗口增量的合法范围为 1 到 2³¹-1（2,147,483,647）八位组。

WINDOW_UPDATE 帧不定义任何标志。

WINDOW_UPDATE 帧可以特定于某个流，也可以针对整个连接。在前一种情况下，帧的流标识符指示受影响的流；在后一种情况下，值 "0" 表示整个连接为该帧的主体。

接收方MUST将窗口增量为 0 的 WINDOW_UPDATE 视为类型为 PROTOCOL_ERROR 的流错误（参见 第 5.4.2 节）；对连接流量控制窗口的错误MUST视为连接错误（参见 第 5.4.1 节）。

发送过带有 END_STREAM 标志的帧的端点也可以发送 WINDOW_UPDATE。这意味着接收方可能在“half-closed (remote)”或“closed”状态的流上收到 WINDOW_UPDATE。接收方MUST NOT将此视为错误（参见 第 5.1 节）。

接收方在接收受流控帧时MUST始终将其计入连接流量控制窗口，除非接收方将此视为连接错误（参见 第 5.4.1 节）。即便该帧存在错误，也必须这样做。发送方将该帧计入流量控制窗口，但若接收方不计入，则发送方与接收方的流量控制窗口可能不同步。

长度不是 4 个八位组的 WINDOW_UPDATE 帧MUST被视为类型为 FRAME_SIZE_ERROR 的连接错误（参见 第 5.4.1 节）。

CONTINUATION 帧（type=0x09）用于继续字段块片段的序列（参见 第 4.3 节）。只要前面的帧位于同一流并且是未置 END_HEADERS 标志的 HEADERS、PUSH_PROMISE 或 CONTINUATION 帧，就可以发送任意数量的 CONTINUATION 帧。

Length、Type、Unused Flag(s)、Reserved 和 Stream Identifier 字段在 第 4 节 中描述。CONTINUATION 帧负载包含字段块片段（参见 第 4.3 节）。

END_HEADERS (0x04):

置位时表示该帧结束一个字段块（参见 第 4.3 节）。

如果未置 END_HEADERS 标志，则此帧MUST后续另一个 CONTINUATION 帧。接收方MUST将任何其他类型的帧或来自不同流的帧视为类型为 PROTOCOL_ERROR 的连接错误（参见 第 5.4.1 节）。

CONTINUATION 帧按 第 4.3 节 定义的方式改变连接状态。

CONTINUATION 帧MUST关联到某个流。如果接收到 Stream Identifier 字段为 0x00 的 CONTINUATION 帧，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

CONTINUATION 帧MUST由未置 END_HEADERS 标志的 HEADERS、PUSH_PROMISE 或 CONTINUATION 帧先行。若接收方观察到违反此规则的情况，接收方MUST以类型为 PROTOCOL_ERROR 的连接错误进行响应（参见 第 5.4.1 节）。

客户端在新流上发送 HTTP 请求，使用先前未使用的流标识符（见 第 5.1.1 节）。服务器在与请求相同的流上发送 HTTP 响应。

1. 一个 HEADERS 帧（后接零个或多个 CONTINUATION 帧），包含头部段（参见 RFC 9110 第 6.3 节），
2. 零个或多个包含消息内容的 DATA 帧（参见 RFC 9110 第 6.4 节），以及
3. 可选地，一个 HEADERS 帧（后接零个或多个 CONTINUATION 帧）包含尾部段（如存在，参见 RFC 9110 第 6.5 节）。

仅对于响应，服务器MAY在包含最终响应的 HEADERS 帧之前发送任意数量的临时响应。临时响应由一个 HEADERS 帧（可能后接零个或多个 CONTINUATION 帧）组成，包含信息性（1xx）HTTP 响应的控制数据和头部段。携带信息性状态码的、带有 END_STREAM 标志的 HEADERS 帧是格式错误的（见 第 8.1.1 节）。

序列中的最后一帧带有 END_STREAM 标志，注意带有 END_STREAM 标志的 HEADERS 帧后仍可跟随承载字段块剩余片段的 CONTINUATION 帧。

在 HEADERS 帧与可能随后出现的任何 CONTINUATION 帧之间，不得出现来自任何流的其他帧。

HTTP/2 使用 DATA 帧承载消息内容。在 HTTP/2 中不能使用在 HTTP/1.1 中定义的 chunked 传输编码；参见 第 8.2.2 节。

尾部字段由也终止流的字段块承载。即，尾部字段由一个 HEADERS 帧开始，后接零个或多个 CONTINUATION 帧，其中该 HEADERS 帧带有 END_STREAM 标志。尾部MUST NOT包含伪首部字段（见 第 8.3 节）。接收方若在尾部中收到伪首部字段，MUST将该请求或响应视为格式错误（见 第 8.1.1 节）。

接收在打开请求的 HEADERS 帧之后且未置 END_STREAM 的另一个 HEADERS 帧，或者在接收到包含最终（非信息性）状态码的 HEADERS 帧之后接收额外的 HEADERS，接收方MUST将对应的请求或响应视为格式错误（见 第 8.1.1 节）。

一次 HTTP 请求/响应交换完全消耗单个流。请求以将流置为“open”的 HEADERS 帧开始。请求以带有 END_STREAM 标志的帧结束，这会使客户端的流变为“half-closed (local)”，服务器的流变为“half-closed (remote)”。响应流以零个或多个信息性响应（HEADERS 帧）开始，随后是包含最终状态码的 HEADERS 帧。

在服务器发送——或客户端接收——带有 END_STREAM 标志的帧（包括完成字段块所需的任何 CONTINUATION 帧）后，HTTP 响应即完成。如果响应不依赖于尚未发送和接收的请求部分，服务器可以在客户端发送完整请求之前发送完整响应。若成立，服务器MAY在发送完整响应后通过发送带有 RST_STREAM 且错误码为 NO_ERROR 的帧来请求客户端无错误地中止请求传输。客户端MUST NOT因接收到此类 RST_STREAM 而丢弃响应，尽管客户端可出于其他原因随时丢弃响应。

HTTP 字段（见 RFC 9110 第 5 节）通过 HTTP/2 的 HEADERS、CONTINUATION 和 PUSH_PROMISE 帧传输，并使用 HPACK 进行压缩。

构造 HTTP/2 消息时，字段名MUST转换为小写。

HTTP/2 使用以 ':' 字符（ASCII 0x3a）开头的特殊伪首部字段来传达消息控制数据（见 RFC 9110 第 6.2 节）。

伪首部字段不是 HTTP 首部字段。端点MUST NOT生成除本文档定义之外的伪首部字段。注意扩展可以协商使用额外的伪首部字段；参见 第 5.5 节。

伪首部字段仅在其定义的上下文中有效。为请求定义的伪首部字段MUST NOT出现在响应中；为响应定义的伪首部字段MUST NOT出现在请求中。伪首部字段MUST NOT出现在尾部段中。端点在请求或响应中包含未定义或无效的伪首部字段时，MUST将其视为格式错误（见 第 8.1.1 节）。

所有伪首部字段MUST在字段块中出现在所有常规字段行之前。任何包含在字段块中出现在常规字段行之后的伪首部字段的请求或响应MUST被视为格式错误（见 第 8.1.1 节）。

相同的伪首部字段名MUST NOT在字段块中出现多次。包含重复伪首部字段名的请求或响应字段块MUST被视为格式错误（见 第 8.1.1 节）。

HTTP/2 允许服务器在与先前客户端发起的请求相关联时，预先向客户端发送（或“推送”）响应（以及相应的“被承诺”请求）。

服务器推送的设计目标是通过预测客户端随后会发出的请求来改善客户端感知的性能，从而为这些请求节省一次往返。例如，请求 HTML 常常会随后请求该页面引用的样式表和脚本。若这些请求被推送，客户端就不需要等待在 HTML 中接收到它们的引用再发出单独请求。

实际上，服务器推送难以有效使用，因为它要求服务器正确预测客户端会发出的附加请求，同时考虑缓存、内容协商和用户行为等因素。预测错误可能导致性能下降，因为额外的数据占用了带宽，可能与更重要的响应产生竞争。尤其是，推送大量数据可能会与更重要的响应发生争用。

客户端可以请求禁用服务器推送，但这是逐跳协商的。可以将 SETTINGS_ENABLE_PUSH 设置为 0 以表示禁用服务器推送。

被承诺的请求MUST是安全的并且可缓存（参见 RFC 9110 中相应部分）。被承诺的请求不得包含任何内容或尾部段。客户端在接收到不具备可缓存性、或未知为安全、或表明存在请求内容的被承诺请求时，MUST使用类型为 PROTOCOL_ERROR 的流错误重置被承诺的流。

如果客户端实现了 HTTP 缓存，且被推送的响应可缓存，则客户端可以存储它们。被推送的响应在被承诺流标识符标识的流仍然打开时，被视为已在源服务器上成功验证（例如当响应具有 "no-cache" 指令时）。

不可缓存的被推送响应MUST NOT被任何 HTTP 缓存存储，但它们MAY单独提供给应用程序使用。

服务器MUST在 ":authority" 伪首部字段中包含服务器有权代表之值。客户端在接收到由服务器并非权威的 PUSH_PROMISE 时，MUST将其视为类型为 PROTOCOL_ERROR 的流错误。

中间件可以从服务器接收推送并选择不将其转发给客户端。换言之，如何使用推送信息由中间件决定。同样，中间件也可能选择在没有服务器动作的情况下向客户端发起额外的推送。

客户端不能推送。因此，服务器MUST将接收客户端的 PUSH_PROMISE 帧视为类型为 PROTOCOL_ERROR 的连接错误。服务器不得将 SETTINGS_ENABLE_PUSH 设置为非 0 的值（见第 6.5.2 节）。

CONNECT 方法用于将 HTTP 连接转换为到远程主机的隧道。CONNECT 主要与 HTTP 代理一起使用，以建立到源服务器的 TLS 会话，从而访问 "https" 资源。

• “:method” 伪首部字段被设为 CONNECT。
• “:scheme” 和 “:path” 伪首部字段MUST被省略。
• “:authority” 伪首部字段包含要连接的主机和端口（等价于 CONNECT 请求目标的 authority 形式）。

不符合这些限制的 CONNECT 请求为格式错误（见 第 8.1.1 节）。

支持 CONNECT 的代理会为 ":authority" 伪首部字段中标识的主机和端口建立一个 TCP 连接。一旦该连接成功建立，代理向客户端发送包含 2xx 系列状态码的 HEADERS 帧。

在每一端首次发送的 HEADERS 帧之后，所有后续的 DATA 帧对应于在该 TCP 连接上发送的数据。代理将客户端发送的任何 DATA 帧的帧负载转发到 TCP 服务器；从 TCP 服务器接收的数据由代理组装为 DATA 帧。除 DATA 或流管理帧（如 RST_STREAM、WINDOW_UPDATE、PRIORITY）外的帧类型不得在已连接的流上发送，若接收则MUST视为流错误。

TCP 连接可以由任一端关闭。带有 END_STREAM 标志的 DATA 帧被视为与 TCP FIN 位等价。客户端在接收到带有 END_STREAM 标志的帧后，预期发送一个带有 END_STREAM 标志的 DATA 帧。代理在接收到带有 END_STREAM 标志的 DATA 帧时，会在最后一个 TCP 段上以 FIN 位发送附带数据；代理在接收到带有 FIN 位的 TCP 段时，会发送带有 END_STREAM 标志的 DATA 帧。注意最终的 TCP 段或 DATA 帧可能为空。

TCP 连接错误以 RST_STREAM 方式报告。代理将 TCP 连接的任何错误（包括接收到带有 RST 位的 TCP 段）视为类型为 CONNECT_ERROR 的流错误。相应地，代理在检测到流或 HTTP/2 连接错误时MUST发送带有 RST 位的 TCP 段。

HTTP/2 不支持 101（Switching Protocols）信息性状态码。

101（Switching Protocols）的语义不适用于多路复用协议。类似功能可通过使用扩展 CONNECT（RFC 8441）实现，其他协议也能使用 HTTP/2 用于协商的相同机制。

通常，当发生错误时，HTTP 客户端无法重试非幂等请求，因为无法确定错误的性质。在错误发生之前可能已进行了一些服务器处理，重新尝试请求可能导致不良后果。

• GOAWAY 帧指示可能被处理的最高流编号。编号更高的流上的请求因此可保证安全地重试。
• REFUSED_STREAM 错误码可以包含在 RST_STREAM 帧中，以指示在任何处理发生之前流被关闭。发送在该重置流上的任何请求都可安全重试。

未被处理的请求尚未失败；客户端MAY自动重试它们，即使这些请求使用非幂等方法。

服务器MUST NOT声明某流未被处理，除非它能保证此事实。如果某流上的帧已被传递给应用层，则MUST NOT对该流使用 REFUSED_STREAM，并且 GOAWAY 帧必须包含大于或等于该流标识符的值。

此外，PING 帧为客户端提供了一种简单测试连接的方法。闲置的连接可能会被某些中间盒静默丢弃绑定。PING 帧允许客户端在不发送请求的情况下安全地测试连接是否仍然活动。

本节展示 HTTP/1.1 的请求和响应，并说明等效的 HTTP/2 请求和响应示例。

HTTP/2 连接是持久的。为获得最佳性能，期望客户端在确定不再需要与服务器进行更多通信（例如用户导航离开某个网页）之前，不关闭连接，或直到服务器关闭连接为止。

客户端不应对给定的主机和端口对打开多个 HTTP/2 连接（该主机由 URI、选定的alternative service 或已配置的代理推导得出）。

客户端可以创建附加连接作为替换，用以替换接近耗尽可用流标识符空间的连接（见 第 5.1.1 节）、刷新 TLS 连接的密钥材料，或替换已遇到错误的连接（见 第 5.4.1 节）。

客户端可以使用不同的Server Name Indication 值或使用不同的 TLS 客户端证书对相同 IP 地址和 TCP 端口打开多个连接，但应避免创建配置相同的多个连接。

鼓励服务器尽可能长时间保持连接打开，但在必要时允许终止空闲连接。当任一端点选择关闭传输层 TCP 连接时，终止端点应先发送一个 GOAWAY（见 第 6.8 节）帧，以便双方能可靠地确定此前发送的帧是否已被处理，并优雅地完成或终止任何必要的剩余任务。

对通过 TLS 的 HTTP/2 实现，必须使用 TLS 1.2 或更高版本。应遵循 通用的 TLS 使用指导，同时还需遵守对 HTTP/2 特有的一些额外限制。

TLS 实现必须支持 TLS 的 Server Name Indication (SNI) 扩展。如果通过域名识别服务器，客户端必须发送 server_name TLS 扩展，除非使用了其他方式指示目标主机。

有关协商 TLS 1.3 的 HTTP/2 部署要求见 第 9.2.3 节。TLS 1.2 部署需遵守 第 9.2.1 节 和 第 9.2.2 节 的要求。鼓励实现提供符合这些要求的默认值，但承认最终由部署方负责合规性。

HTTP/2 依赖于 HTTP 对 authority 的定义来确定服务器在提供特定响应时是否具有权威性（参见 RFC 9110 第 4.3 节）。这依赖于对于 "http" URI 方案的本地名称解析以及对于 "https" 方案的经过认证的服务器身份。

在跨协议攻击中，攻击者促使客户端在一个协议中向理解另一种协议的服务器发起事务。攻击者可能能使该事务在第二种协议中看起来是有效事务。结合 Web 环境的能力，这可以被用来与私有网络中保护不佳的服务器交互。

完成带有 HTTP/2 ALPN 标识符的 TLS 握手可被视为对跨协议攻击的充分防护。ALPN 提供了服务器愿意继续使用 HTTP/2 的积极指示，从而防止对其他基于 TLS 的协议的攻击。

TLS 中的加密使得攻击者难以控制可用于对明文协议进行跨协议攻击的数据。

HTTP/2 的明文版本对跨协议攻击的保护最小。连接前言（见 第 3.4 节）包含一个旨在使 HTTP/1.1 服务器困惑的字符串，但对其他协议并未提供特殊保护。

HPACK 允许对字段名和值进行编码，这些字段在其他 HTTP 版本中可能被视为定界符。将 HTTP/2 请求或响应转换为其他 HTTP 版本的中间件必须在转换消息之前根据 第 8.2 节 的规则验证字段。翻译包含无效定界符的字段可能导致接收方错误地解释消息，这可能被攻击者利用。

第 8.2 节 未包含伪首部字段的具体验证规则。如果这些字段的值被使用，则需要额外的验证。这在将 ":scheme"、":authority" 和 ":path" 组合成单一 URI 字符串时尤为重要。类似问题也可能在将该 URI 或仅 ":path" 与 ":method" 组合以构造请求行时出现。除非输入值被完全验证，否则简单的串联是不安全的。

中间件可拒绝包含无效字段名或字段值的字段——尤其是那些不符合 RFC 9110 第 5 节 ABNF 语法的字段。不仅限于此，未执行第 8.2 节 最低验证要求的中间件可能会转发包含无效字段名或值的消息。

接收需要在转发前移除的字段的中间件（参见 RFC 9110 第 7.6.1 节）必须在转发消息时移除或替换这些首部字段。此外，中间件在转发包含 Content-Length 字段的消息时应谨慎，以确保消息格式正确（见 第 8.1.1 节）。这可确保当消息被转换为 HTTP/1.1 时，分帧将是正确的。

被推送的响应并没有来自客户端的显式请求；该请求由服务器在 PUSH_PROMISE 帧中提供。

是否缓存被推送的响应可依据源服务器在 Cache-Control 头字段中提供的指导。但如果单个服务器承载多个租户，这可能引发问题。例如，服务器可能为多个用户提供其 URI 空间的不同小部分。

当多个租户共享同一服务器空间时，该服务器必须确保租户不能推送其无权拥有的资源的表示。未能强制执行此点将允许某租户提供一个表示并使其从缓存中被提供，从而覆盖权威租户所提供的实际表示。

对源服务器并非权威的被推送响应（见 第 10.1 节）不得被使用或缓存。

与 HTTP/1.1 连接相比，HTTP/2 连接可能需要更多的资源来运行。字段段压缩和流量控制依赖于更多状态的承诺。这些特性的设置确保了对此类功能的内存承诺是严格有界的。

PUSH_PROMISE 帧的数量并不以相同方式受限。接受服务器推送的客户端应限制允许处于 “reserved (remote)” 状态的流数量。过多的服务器推送流可被视为类型为 ENHANCE_YOUR_CALM 的流错误（见 第 5.4.2 节）。

• 对未完成的出站帧进行低效跟踪可能导致过载，若对手能促使大量帧排队发送。对手可以使用多种技术导致大量帧被生成：

  • 在 WINDOW_UPDATE 帧中提供极小的流量控制增量，会促使发送方生成大量 DATA 帧。
  • 端点必须响应 PING 帧。
  • 每个 SETTINGS 帧都需要确认。
  • 无效的请求（或服务器推送）可能导致对端发送 RST_STREAM 帧作为响应。
• 攻击者可以在 HTTP/2 层提供大量流量控制额度，但在 TCP 层扣留这些额度，阻止帧被发送。如果端点在不考虑 TCP 限制的情况下构建并记忆要发送的帧，可能会遭受资源耗尽。
• 大量小帧或空帧可以被滥用以迫使对端花费时间处理帧头。对此需谨慎，因为某些使用小帧的场景是合法的，例如在流结束时发送空的 DATA 或 CONTINUATION 帧。
• SETTINGS 帧也可能被滥用以消耗对端的额外处理时间，例如通过无意义地更改设置、发送多个未定义设置或在同一帧中重复更改相同设置。
• 使用 PRIORITY 帧处理重新优先级可能需要大量处理时间，如果发送大量 PRIORITY 帧，会导致过载。
• 字段段压缩也为攻击者浪费处理资源提供了机会；参见 HPACK 第 7 节，了解潜在滥用的更多细节。
• SETTINGS 中的限制无法立即降低，这使端点暴露于可能超过新限制的对等方行为之下。尤其是在建立连接之后，客户端在知晓服务器设置之前可能会超出限制而并非明显的协议违规。

大多数可能被滥用以实施拒绝服务的特性（如 SETTINGS 更改、小帧、字段段压缩）都有合法用途。仅在不必要或过度使用这些特性时，它们才成为负担。

不监控这些特性使用情况的端点将面临拒绝服务风险。实现应跟踪这些特性的使用并对其设置限制。端点可以将可疑活动视为类型为 ENHANCE_YOUR_CALM 的连接错误（见 第 5.4.1 节）。

当秘密数据与攻击者可控数据在相同上下文中被压缩时，压缩可能允许攻击者恢复秘密数据。HTTP/2 支持字段行的压缩（见 第 4.3 节）；下列关注点同样适用于 HTTP 压缩内容编码的使用（见 RFC 9110 第 8.4.1 节）。

已有针对压缩的可行攻击利用了 Web 的特性（例如 BREACH）。攻击者诱导包含不同明文的多次请求，观察每次得到的密文长度，当对秘密的猜测正确时，所得到的密文长度会更短，从而泄露信息。

在安全信道上通信的实现不得压缩同时包含机密数据和攻击者可控数据的内容，除非对每个数据源使用了独立的压缩字典。如果无法可靠确定数据来源，则不得使用压缩。通用流压缩（例如 TLS 提供的）不得与 HTTP/2 一起使用（见 第 9.2 节）。

关于头字段压缩的更多注意事项见 HPACK。

HTTP/2 中的填充并非用于替代通用填充（例如 TLS 提供的填充）。冗余填充甚至可能适得其反。正确使用填充可能依赖于对被填充数据的具体了解。

为缓解依赖于压缩的攻击，禁用或限制压缩可能比使用填充作为对策更可取。

填充可用于模糊帧内容的精确大小，并用于缓解 HTTP 中的特定攻击——例如当压缩内容同时包含攻击者可控明文与秘密数据时（如 BREACH）。

使用填充可能产生低于直观预期的保护效果。充其量，填充只是通过增加攻击者需要观察的帧数来使其更难推断长度信息。不正确实现的填充方案容易被击破。尤其是，具有可预测分布的随机填充提供的保护非常有限；同样，将帧负载填充到固定大小会在帧负载大小跨越固定边界时泄露信息，如果攻击者可以控制明文，这种情况是可能的。

中间件应保留 DATA 帧的填充，但对于 HEADERS 和 PUSH_PROMISE 帧中间件可以去除填充。中间件改变帧填充量的一个合理原因是为了增强填充所提供的保护。

HTTP/2 的若干特性使观察者有机会随时间关联单个客户端或服务器的行为。这些包括设置的值、流量控制窗口的管理方式、为流分配优先级的方式、对刺激的反应时序，以及由设置控制的任何特性的处理方式。

由于这些在行为上创建了可观察的差异，它们可能被用于对特定客户端进行指纹识别，如 RFC 6973 第 3.2 节 所定义。

HTTP/2 倾向于使用单个 TCP 连接，这允许关联用户在站点上的活动。为不同来源重用连接允许跨这些来源进行跟踪。

由于 PING 和 SETTINGS 帧会引发即时响应，它们可被端点用于测量到对等方的延迟。在某些场景中，这可能具有隐私影响。

远程计时攻击通过观察服务器在处理使用秘密的数据的请求时所需时间的变化来提取秘密。HTTP/2 支持并发请求的创建和处理，这可以使攻击者更好地控制请求处理何时开始。多个 HTTP/2 请求可以包含在同一 IP 分组或 TLS 记录中。因此，HTTP/2 通过消除请求传递的可变性，仅留下请求顺序和响应的交付作为计时可变性的来源，从而使远程计时攻击更高效。

确保处理时间不依赖于秘密值是防御任何形式计时攻击的最佳方法。

Field Name:

HTTP2-Settings

Status:

obsoleted

Reference:

Section 3.2.1 of [RFC7540] 

Comments:

已过时；参见本文件的 第 11.1 节。

Value:

h2c

Description:

(OBSOLETE) Hypertext Transfer Protocol version 2 (HTTP/2)

Expected Version Tokens:

None

Reference:

Section 3.1 of this document