使用 HTTP 构建协议

在本文档中，当且仅当以全部大写字母出现时，关键词 "MUST"、"MUST NOT"、"REQUIRED"、"SHALL"、"SHALL NOT"、"SHOULD"、"SHOULD NOT"、"RECOMMENDED"、"NOT RECOMMENDED"、"MAY" 和 "OPTIONAL" 应按 BCP 14 [RFC2119] 和 [RFC8174] 中所述进行解释。

一个应用可以在不满足上述使用条件的情况下依赖 HTTP。例如，某个应用可能希望避免重新定义消息格式的部分内容，但可能更改协议操作的其他方面，或者希望使用特定于应用的方法。

这样做允许在修改协议操作上有更多自由，但会失去第 3 节 中概述的部分好处，因为大多数 HTTP 实现不容易适应这些更改。其带来的思维认知上的优势也将丧失。

此类规范 MUST NOT 使用 HTTP 的 URI 方案、传输端口、ALPN 协议 ID 或 IANA 注册表；相反，建议它们自行建立这些项。

HTTP 的价值很大程度上在于其通用语义——也就是说，HTTP 定义的协议元素有可能适用于每个资源，并非特定于某一上下文。特定于应用的语义最好在消息内容和报头字段中表达，而不是在状态码或方法中（尽管状态码和方法确实具有与应用状态相关的通用语义）。

通用语义与应用特定语义的这种划分使得通用软件（例如 HTTP 服务器、中间件、客户端实现和缓存）能够处理 HTTP 消息，而无需理解所使用的具体应用。它还允许人们利用对 HTTP 语义的理解，而无需对特定应用拥有专门知识。

因此，使用 HTTP 的应用 MUST NOT 重新定义、细化或覆盖通用协议元素（例如方法、状态码或现有报头字段）的语义。相反，它们应将规范重点放在该应用特有的协议元素上——即它们的 HTTP 资源。

一个 POST 请求 MUST 导致 201 (Created) 响应。

这在客户端中形成了一个期望，即响应将始终为 201 (Created)，而实际上在真实部署中状态码可能因多种原因而不同；例如，可能存在需要认证的代理、服务器端错误或重定向。如果客户端没有预见这些情况，应用的部署将变得脆弱。

更多细节见 第 4.2 节。

另一个常见做法是假定 HTTP 服务器的命名空间（或其中的一部分）专属于某个应用程序使用。这实际上在该空间上覆盖了特殊的、应用特定的语义，并阻止其他应用使用它。

如 [BCP190] 所述，这种在 URL 空间的一部分上进行“占据”行为会篡夺服务器对自身资源的权限，可能导致部署问题，因此在标准中是不良实践。

与其静态地定义 URI 组件（如路径），更 推荐 使用 HTTP 的链接机制 [WEB-LINKING] 来定义和使用链接，以便在部署时保持灵活性。

以这种方式使用运行时链接在许多方面都有额外的好处——尤其是当一个应用有多个实现和/或部署时（这在标准化的应用中很常见）。

例如，使用链接进行导航允许请求被路由到不同的服务器，而无需重定向的开销，从而很好地支持跨机器部署。

通过使用链接，还可以在同一服务器上“混合搭配”不同的应用。链接的使用也为可扩展性、版本控制和能力管理提供了自然机制，因为包含链接的文档也可以包含有关其目标的信息。

使用链接还提供了一种在 Web 上常见的缓存失效方式；当资源状态变化时，应用可以更改受影响的链接，以便始终获取最新副本。

更多细节见 第 4.4 节。

• 消息分帧
• 复用（在 HTTP/2 [HTTP/2] 和 HTTP/3 [HTTP/3] 中）
• 与 TLS 的集成
• 对中间件的支持（代理、网关、内容分发网络（CDN））
• 客户端认证
• 用于格式、语言和其他特性的内容协商
• 用于服务器可扩展性、延迟与带宽减少以及可靠性的缓存
• 访问控制的粒度（通过使用丰富的 URL 空间）
• 部分内容请求以选择性获取响应的部分内容
• 使用 Web 浏览器方便地与应用交互的能力

鼓励使用 HTTP 的应用利用协议提供的各种功能，以便其用户能从这些功能中获得最大收益，并且应用可以在各种场景中部署。本文档并不强制使用具体特性，因为适当的设计权衡高度依赖具体情形。然而，遵循第 4 节 中的实践是一个良好的起点。

规范应将 [HTTP] 作为 HTTP 的主要参考；除非有特定原因（例如需要指出某个特性），否则无需引用 HTTP 套件中的所有规范。

由于 HTTP 是逐跳（hop-by-hop）协议，连接可能会被不由应用控制的实现处理；例如代理、CDN、防火墙等。在这些情况下要求使用特定的 HTTP 版本会使得使用变得困难并损害互操作性。因此，不建议（NOT RECOMMENDED）在应用规范中指定必须使用的最低 HTTP 版本。

不过，如果应用的部署能够从使用特定 HTTP 版本中获益（例如 HTTP/2 的复用），应当在规范中指出这一点。

为了保留协议演进的能力，使用 HTTP 的应用 MUST NOT 指定最大版本。

GET /thing HTTP/1.1
Host: example.com
Accept: application/things+json
User-Agent: Foo/1.0

HTTP/1.1 200 OK
Content-Type: application/things+json
Content-Length: 500
Server: Bar/2.2

[content here]

• 媒体类型 [RFC6838]，通常基于诸如 JSON [JSON] 的格式约定；
• HTTP 报头字段，按 第 4.7 节 的说明；以及
• 通过链接关系 [WEB-LINKING] 指认的资源行为。

• 使用 GET 以一种或多种由媒体类型标识的格式检索资源状态；
• 使用 POST 或 PUT 创建或更新资源，并指定适当的请求内容格式；
• 使用 POST 进行数据处理，并标识请求和响应的内容格式；以及
• 使用 DELETE 删除资源。

使用 “example-widget” 链接关系类型链接的资源是 Widgets。Widget 的状态可以以 "application/example-widget+json" 格式获取，并且可以通过对相同链接使用 PUT 来更新。Widget 资源可以被删除。

Widget 表示中的 Example-Count 响应报头字段指示发送方持有多少个 Widget。

"application/example-widget+json" 格式是一种表示 Widget 状态的 JSON [RFC8259] 格式。它在 Link 报头字段值中带有 "example-other-info" 链接关系类型指示的链接，指向相关信息。

应用还可以指定使用 URI 模板 [URI-TEMPLATE]，以允许客户端基于运行时数据生成 URL。

应用对客户端行为的期望应与 Web 浏览器的期望紧密一致，以避免当浏览器被用于访问时出现互操作性问题。

一种方法是以 [FETCH] 来定义，因为这是浏览器用于 HTTP 的抽象。

重定向处理：

应用需要指定期望如何处理重定向；参见 第 4.6.1 节。

Cookie：

若需使用 Cookie，使用 HTTP 的应用应明确引用 Cookie 规范 [COOKIES]。

证书：

当使用 HTTPS 时，使用 HTTP 的应用应指定 TLS 证书按照 [HTTP] 第 4.3.4 节 进行检查。

使用 HTTP 的应用不应要求客户端静态支持通常通过协商获得的 HTTP 特性。例如，要求客户端支持某种内容编码而不是通过协商来确定（参见 [HTTP]）会导致原本符合规范的客户端无法与该应用互操作。不过，应用可以鼓励实现这些特性。

在 HTTP 中，客户端交互的资源由 URL 标识 [URL]。正如 [BCP190] 所解释的，URL 的部分组件由服务器的所有者（也称为“authority”）控制，以便为其部署提供灵活性。

这意味着在大多数情况下，使用 HTTP 的应用规范不会包含固定的应用 URL 或路径；虽然在单一部署的 API 规范中指定路径前缀（例如 "/app/v1"）是常见做法，但在 IETF 规范中这样做是不合适的。

因此，规范作者需要某种机制来允许客户端发现某个应用的 URL。此外，他们需要指定应用应使用哪个 URL 方案以及是否使用专用端口或重用 HTTP 的端口。

使用 HTTP 的应用 MUST 限制使用已注册的 HTTP 方法，如 GET、POST、PUT、DELETE 和 PATCH。

新的 HTTP 方法很少见；它们需要在 “HTTP 方法注册表” 中以 IETF 审查的方式注册（参见 [HTTP]），并且需要是通用的。这意味着它们需要可能适用于所有资源，而不仅仅是某个应用的资源。

尽管历史上某些应用（例如 [RFC4791]）定义了特定于应用的方法，但 [HTTP] 现在禁止这样做。

当作者认为需要新的方法时，鼓励他们尽早与 HTTP 社区接洽（例如在 <mailto:ietf-http-wg@w3.org> 邮件列表上），并将其作为独立的 HTTP 扩展来记录，而不是作为应用规范的一部分。

HTTP 状态码既为通用 HTTP 组件（如缓存、中间件和客户端）提供语义，也为应用本身提供语义。然而，应用在使用状态码时可能遇到若干陷阱。

首先，状态码常常由除应用本身以外的组件生成。例如，当遇到网络错误时；当存在强制门户、代理或内容分发网络；或当服务器过载或认为自己受到攻击时。甚至在某些错误情况下，通用客户端软件也会生成状态码。因此，如果应用将特定语义赋予某个状态码，客户端可能会因为该状态码是由通用组件而非应用本身生成而被误导。

此外，将应用错误与单个 HTTP 状态码一一映射通常会导致可用状态码空间被耗尽。这反过来会导致一些不良做法——包括创建新的应用特定状态码或在语义关系薄弱时仍使用现有状态码。

相反，使用 HTTP 的应用应将其错误映射到最适用的状态码，在存疑时慷慨地使用通用状态码（如 200、400 和 500）。重要的是，不应为状态码与应用错误之间指定一对一关系，以避免前述的耗尽问题。

为区分映射到相同状态码的多种错误情况并避免前述的误归因问题，使用 HTTP 的应用应在响应的消息内容和/或报头字段中传达更细粒度的错误信息。[PROBLEM-DETAILS] 提供了一种方法。

由于已注册的 HTTP 状态码集合可能会扩展，使用 HTTP 的应用应明确指出客户端应能够优雅地处理所有适用的状态码（即回退到给定状态码的一般 n00 语义；例如对 499 不识别的客户端可以安全地将其作为 400（Bad Request）处理）。这比列出一长串潜在状态码更可取，因为这样的列表在可预见的未来不会是完整的。

使用 HTTP 的应用 MUST NOT 重新规定 HTTP 状态码的语义，即使只是复制它们的定义也不行。不建议（NOT RECOMMENDED）要求使用特定的 reason phrase；reason phrase 在 HTTP 中没有功能，且不保证被实现保留，并且在 HTTP/2 的消息格式中根本不携带。

应用 MUST 仅使用已注册的 HTTP 状态码。与方法类似，新的 HTTP 状态码很少见，并且（按 [HTTP] 的要求）需要以 IETF 审查方式注册。同样，HTTP 状态码是通用的；按 [HTTP] 的要求，它们需要可能适用于所有资源，而不仅仅是某个应用的资源。

当作者认为需要新的状态码时，鼓励他们尽早与 HTTP 社区接洽（例如在 <mailto:ietf-http-wg@w3.org> 邮件列表上），并将其作为独立的 HTTP 扩展来记录，而不是作为应用规范的一部分。

• 该字段对中间件有用（中间件通常希望避免解析消息内容）；和/或
• 该字段对通用 HTTP 软件（例如客户端、服务器）有用；和/或
• 无法在消息内容中包含其值（通常因为某种格式不允许）。

当上述条件不满足时，通常更好在其它地方传达应用特定信息——例如在消息内容或 URL 查询字符串中。

新的报头字段必须按照 [HTTP] 第 16.3 节 进行注册。

在铸造新报头字段时应考虑的指导见 [HTTP] 第 16.3.2 节。[STRUCTURED-FIELDS] 为新报头字段提供了通用结构，避免了许多解析和处理问题；建议（RECOMMENDED）新报头字段使用它。

建议（RECOMMENDED）报头字段名保持简短（即使使用字段压缩也有开销），但要足够具体。特别是，如果报头字段特定于某个应用，可以用该应用的标识作为字段名的前缀，前缀与字段名之间用连字符分隔。

例如，如果 “example” 应用需要创建三个报头字段，它们可以命名为 "example-foo"、"example-bar" 和 "example-baz"。注意主要动机是避免占用更通用的字段名，而不是为应用保留命名空间；相关考虑见 [RFC6648]。

未经更新其注册或为其定义扩展（若允许），不得重新定义现有 HTTP 报头字段的语义。例如，使用 HTTP 的应用不能指定 Location 报头字段在某种语境下具有特殊含义。

有关报头字段与 HTTP 缓存之间的交互，请参见 第 4.9 节；特别是用于选择响应的请求报头字段（参见 [HTTP-CACHING] 第 4.1 节）在缓存方面有影响，需要仔细考虑。

有关承载应用状态（例如 Cookie）的报头字段的注意事项，请参见 第 4.10 节。

消息内容的常见语法约定包括 JSON [JSON]、XML [XML] 和 CBOR（Concise Binary Object Representation）[RFC8949]。关于它们使用的最佳实践超出了本文档的范围。

应用应为其定义的每种格式注册不同的媒体类型；这使得能够明确识别并进行协商使用。详情见 [RFC6838]。

HTTP 缓存 [HTTP-CACHING] 是将 HTTP 用于应用的主要好处之一；它提供了可扩展性、降低延迟并提高可靠性。此外，浏览器和其他客户端、网络中的正向和反向代理、内容分发网络以及服务器软件中都可以方便地使用 HTTP 缓存。

即便某个使用 HTTP 的应用并非为利用缓存而设计，它也需要考虑当缓存被插入（无论是在网络、服务器、客户端或中间基础设施中）时这些缓存如何处理其响应，以保留正确的行为。

应用可以使用有状态的 Cookie [COOKIES] 来识别客户端和/或存储客户端特定的数据以为请求提供上下文。

当使用 Cookie 时，重要的是仔细指定 Cookie 的作用域和使用方式；如果应用暴露敏感数据或能力（例如通过作为环境权限），可能会发生攻击。缓解措施包括使用请求特定的令牌以确保客户端意图。

客户端经常需要发送多个请求来完成一项任务。

在 HTTP/1 中 [HTTP/1.1]，并行请求通常通过打开多个连接来支持。当使用过多并发连接时，应用性能可能受影响，因为连接的拥塞控制不会协调。此外，应用可能难以决定何时发起请求以及为给定请求使用哪个连接，这进一步影响性能。

HTTP/2 [HTTP/2] 和 HTTP/3 [HTTP/3] 为应用提供了复用，消除了使用多个连接的需要。然而，应用性能仍可能受到服务器选择响应优先级方式的显著影响。根据应用情况，最好由服务器决定响应的优先级，或由客户端向服务器提示其优先级（例如参见 [HTTP-PRIORITY]）。

在所有 HTTP 版本中，请求是独立发起的——不能依赖两个请求的相对顺序来保证它们的处理顺序。这是因为它们可能被中间件以复用协议发送、发送到不同的源服务器，或者服务器可能以不同的顺序执行处理。如果两个请求需要严格的顺序，确保结果的唯一可靠方法是在第一个请求的最终响应开始时再发出第二个请求。

应用 MUST NOT 假设单个传输连接上的独立请求之间存在关系；这样做会破坏 HTTP 作为无状态协议的许多假设，并会导致互操作性、安全性、可操作性和演进方面的问题。

应用可以使用 HTTP 认证（见 [HTTP] 第 11 节）来识别客户端。根据 [RFC7617]，Basic 认证方案不适合在通道不安全的情况下保护敏感或有价值的信息（例如必须使用 "https" 方案）。同样，[RFC7616] 要求在安全通道上使用 Digest 认证方案。

在 HTTPS 下，客户端也可以使用证书进行认证 [RFC8446]，但请注意此类认证本质上限定于底层传输连接。因此，客户端无法知道已认证的状态是否在准备响应时被使用（尽管 Vary: * 和/或 private 缓存指令可以提供部分指示），并且获取明确未认证响应的唯一方式是打开新的连接。

当使用认证时，重要的是仔细指定认证的作用域和使用方式；如果应用暴露敏感数据或能力（例如作为环境权限，参见 [RFC6454] 第 8.3 节），可能会发生利用。缓解措施包括使用请求特定的令牌以确保客户端意图。

即便应用并不打算被 Web 浏览器使用，其资源仍会对浏览器和其他 HTTP 客户端可用。这意味着所有使用 HTTP 的此类应用都需要考虑浏览器如何与其交互，尤其是安全方面。

例如，如果应用的状态可以通过 POST 请求更改，则可以很容易地被来自任意网站的 Web 浏览器诱导进行跨站请求伪造（CSRF）。

或者，如果攻击者控制了来自应用资源的返回内容的一部分（例如请求的一部分在响应中被反射，或响应包含攻击者可修改的外部信息），他们可以向浏览器注入代码并以原始站点的身份访问数据和能力——这称为跨站脚本（XSS）攻击。

这只是应用使用 HTTP 必须考虑问题类型的一小部分。通常，最佳做法是将应用视为 Web 应用并遵循其安全开发的最佳实践。

• 在 Content-Type 报头字段中使用应用特定的媒体类型，并要求客户端在未使用时失败。
• 使用 X-Content-Type-Options: nosniff [FETCH] 以确保受攻击者控制的内容不能被浏览器强制解释为可执行内容。
• 使用 Content-Security-Policy [CSP] 来限制活动内容（即可执行脚本的内容，如 HTML [HTML] 和 PDF）的能力，从而缓解 XSS 攻击。
• 使用 Referrer-Policy [REFERRER-POLICY] 防止 URL 中的敏感数据在 Referer 请求报头字段中泄露。
• 在 Cookie 上使用 'HttpOnly' 标志以确保 Cookie 不被浏览器脚本语言暴露 [COOKIES]。
• 避免对任何敏感信息（例如认证令牌、密码）使用压缩，因为浏览器提供的脚本环境允许攻击者反复探测压缩空间；如果攻击者能访问通信的网络路径，他们可以利用此能力恢复这些信息。

根据预期的部署方式，使用 HTTP 的应用规范可能会要求以特定方式使用这些机制，或仅在安全性考量中指出它们。

HTTP/1.1 200 OK
Content-Type: application/example+json
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'none'
Cache-Control: max-age=3600
Referrer-Policy: no-referrer

[content]

如果应用以与浏览器兼容为目标，客户端交互应以 [FETCH] 为准，因为这是浏览器用于 HTTP 的抽象；它强制实施了许多上述最佳实践。

由于许多 HTTP 能力是以 origin 为作用域的 [RFC6454]，应用还需要考虑其部署如何与使用同一 origin 服务器的其他应用（包括网页浏览）相互作用。

例如，如果使用 Cookie [COOKIES] 来承载应用状态，它们默认会随向该 origin 的所有请求一起发送（除非按路径进行作用域限制），并且应用可能会收到来自该 origin 上其他应用的 Cookie。这会导致安全问题以及 Cookie 名称冲突。

一种解决方案是要求为应用使用专用主机名，从而获得唯一的 origin。然而，通常希望允许多个应用部署在单一主机名上；这样可以提供最大的部署灵活性并使它们能够“混合”部署（详情见 [BCP190]）。

因此，使用 HTTP 的应用应努力允许在同一 origin 上存在多个应用。具体而言，在规范 Cookie、HTTP 认证域（realm）或其他 origin 范围的 HTTP 机制时，不应强制使用特定名称，而应允许部署进行配置。应考虑将它们作用域限定到 origin 的部分，使用它们各自规定的机制来实现。

现代 Web 浏览器限制来自一个 origin 的内容访问另一个 origin 的资源以避免泄露私人信息。因此，想要向浏览器暴露跨源数据的应用将需要实现 CORS 协议；参见 [FETCH]。

• 服务器推送是逐跳的；即它不会被中间件自动转发。因此，它可能难以（或根本无法）与代理、反向代理和内容分发网络一起工作。
• 如果使用不当，服务器推送可能对 HTTP 性能产生负面影响，尤其是在与客户端实际请求的资源发生竞争时。
• 不同客户端对服务器推送的实现不同，尤其是在与 HTTP 缓存的交互方面，能力可能各异。
• 一些实现中目前不存在服务器推送的 API，其他实现中也存在很大差异。特别是，目前没有浏览器 API 可用。
• HTTP/1.1 或 HTTP/1.0 不支持服务器推送。
• 服务器推送并非 HTTP 的“核心”语义的一部分，因此未来协议版本可能不支持它。

希望优化客户端在完整响应到达之前可执行相关工作的应用（例如提前获取可能包含的链接）可能受益于使用 103 (Early Hints) 状态码；参见 [RFC8297]。

直接使用服务器推送的应用需要强制执行 [HTTP/2] 中关于权威性的要求（参见 第 8.4 节），以避免跨源推送攻击。

在应用协议中引入新特性并更改现有特性通常是必要的。

• 使用不同的链接关系类型 [WEB-LINKING] 来标识实现新功能的资源的 URL。
• 使用不同的媒体类型 [RFC6838] 来标识启用新功能的格式。
• 使用不同的 HTTP 报头字段在消息内容之外实现新功能。

HTTP 客户端可能会向服务器暴露各种信息。除了作为应用操作一部分明确发送的信息（例如姓名和其它用户输入的数据）以及“在线传输”的信息（这也是在 第 4.4.2 节 中推荐使用 "https" 的原因之一）之外，还可以通过不那么明显的方式收集其他信息——通常是通过将用户在一段时间内的活动关联起来。

这些包括会话信息、通过指纹识别进行的客户端跟踪以及代码执行等。

会话信息包括客户端的 IP 地址、TLS 会话票据、Cookie、存于客户端缓存的 ETag 以及其他有状态机制。建议应用避免使用会话机制，除非不可避免或对操作是必需的；在必须使用时，需要记录这些风险。同时应鼓励实现提供清除此类状态的能力。

指纹识别利用客户端消息和行为的独特特征来关联不同的请求与连接。例如，User-Agent 请求报头字段传达了关于实现的具体信息；Accept-Language 请求报头字段传达了用户的首选语言。组合多个此类标识可以用来唯一识别客户端，影响其对数据的控制。因此，建议应用规定客户端在请求中只发送其运行所需的信息。

最后，如果应用暴露了执行代码的能力，则需格外谨慎，因为任何观察其运行环境的能力都可以被用来指纹识别客户端并获取或操纵私人数据（包括会话信息）。例如，对高分辨率计时器的访问（即使是间接的）可以用来分析底层硬件，从而为系统创建唯一标识符。建议尽可能避免允许使用移动代码；当无法避免时，需要仔细审查由此产生的系统安全属性。