仕様書

意味

[15] ヘッダー (ヘッダー欄) は、ヘッダー名とヘッダー値で構成されます >>12。

[16] ヘッダー名は、対応するヘッダー値に対する名札となるもの >>12 であり、ヘッダー値の構文と意味はヘッダー名により決まります。 ヘッダー名、ヘッダー値

[432] HTTP においてはヘッダーの値が空文字列であることと、 ヘッダーが指定されていないことは同義ではありません。また空文字列は非推奨でも何でもなく、 定義上空文字列であることが要求されている場面もあります。

[54] また、ヘッダーの値が 0 という文字列となることもあります。

テキスト形式メッセージ (HTTP/1.x) におけるヘッダー

[76] ヘッダーは、欄名、 :、欄値の順に指定します >>12。

[75] 欄値の前後には空白 (OWS) を入れることができます >>12。

[77] ヘッダーの直後には、必ず CRLF が必要です。

[78] ヘッダーは、ヘッダー部やトレーラー部に任意の個数、指定できます。

バイナリー形式メッセージ (HTTP/2) におけるヘッダー

[74] HTTP/2 には、 HTTP/1.1 と共通の通常の HTTPヘッダーと、 HTTP/1.1 の開始行に相当する疑似ヘッダーがあります。

[113] いずれのヘッダーも、ヘッダーリストを構成します。 ヘッダーリストは、 HPACK によりヘッダーブロックとして符号化し、 必要ならヘッダーブロック素片として分割し、 HEADERS や PUSH_PROMISE や CONTINUATION のフレームの payload として送信されます >>73。

文脈

[13] HTTP/1.0 や HTTP/1.1 の HTTPメッセージでは、 ヘッダーは開始行とメッセージ本体の直前の空行との間に0個以上指定できます。

[94] HTTP/2 のHTTPメッセージでは、 ヘッダーは header block の一部として記述できます。

[14] HTTP/0.9 メッセージにはヘッダーは指定できません。

[446] ヘッダーは HTTP/1.1 や HTTP/2 のトレーラー部にも0個以上指定できます。

[447] ヘッダーの種類 (ヘッダー名) や要求メッセージ、状態符号その他の文脈により、 それぞれ更に細かい制約があります。 (詳細は各ヘッダーの文脈の項を参照してください。)

処理

[38] 欄値には行折り畳みが含まれていることがあります。 その処理については、欄値、行折り畳みの項を参照してください。

[401] 鯖は、処理したい長さより長いヘッダーのある要求を受信した時は、 適切な 4xx 状態符号で応答しなければなりません >>12。

[402] クライアントは、処理したい長さより長いヘッダーのある応答を受信した時は、 それによってメッセージのフレーム付けや応答の意味が変わってしまわない限り、 当該ヘッダーを除去したり途中で切ったりしても構いません。 >>12

[26] 鯖は、要求のヘッダー全体を受信するまで対象資源に要求を適用してはなりません >>12。

ヘッダーの種類

[20] ヘッダーの種類はヘッダー名により識別されます。 ヘッダーは、 HTTP 本体仕様で定義されている他、 追加のヘッダーが随時追加されています。

[7] HTTPヘッダーには、 RFC で規定されているもの、 実装依存のものなど沢山の種類があります。

[21] ヘッダー名については、電子メール等と共通の IANA登録簿があります >>438, >>39。定義されたヘッダーは、 IANA に登録するべき (ought to) です >>12。

[22] 串は、原則として認識できないヘッダーを転送しなければなりません >>12。 (Connection: ヘッダーによる指定や串の個別の設定など、 他の規定により転送しなくて良い場合もあります。) >>435

[23] 串以外の受信者は、認識できないヘッダーを無視するべきです >>12。

[137] IANA登録簿はかつてはインターネットメールやインターネットニュースやMIME と共通でしたが、今は HTTP 独自のものになっています。

[140] 登録簿分離のタイミングなのかわかりませんが、 以前登録されていたはずのものがいくつか消えているみたいです。 仕様書もないのに実装だけされていたものがいくつか気まぐれに(?)予備登録されていたようで、 そういうのが消えているように見えます。

ヘッダーの順序

[24] 異なる欄名のヘッダー同士の順序は、意味を持ちません >>12。

[27] 同名のヘッダーの順序には意味があります >>12。 串は転送の際にその順序を入れ替えてはなりません >>12。

[25] 制御データを含む Host: や Date: などを先に送信するのが良い習慣 (good practice) とされています。 >>12

[127] getAllResponseHeaders では特別な順序に整列されます。 getAllResponseHeaders

同名ヘッダー

[28] 送信者は、欄値全体がリスト (#) として定義されている場合や、特に認められている場合を除き、 同名のヘッダーを複数生成してはなりません >>12。

[29] 受信者は、同名のヘッダーを、出現順に値を , で区切って連結することでまとめて構いません。 >>12

[58] Set-Cookie: は連結することで意味が変わってしまうので、 連結するべきではないとされています。

[100] Cookie: は HTTP/2 で例外的に複数指定することが認められており、 特別な連結の方法も定義されています。 Cookie:

[59] Default-Style: はその構文や適合性が明確に規定はされていませんが、 値に , が含まれても特別な意味を持たない一方で、 複数ヘッダーを指定した場合の処理が規定されているため、 , で連結すると意味が異なってしまいます。

[97] 一般に、元の状態では構文的に正しくない複数の同名のヘッダーの値を連結することで、 構文的に正しくなり、連結したかどうかによって異なる処理がなされてしまう場合があり得ます。 受信者によって違った解釈をされ得るものは、セキュリティーホールとして攻撃に使われる虞があります。

[440] CGI ではヘッダーをメタ変数にする時に、同じ名前のヘッダーが複数あれば , により連結することになっています。これはヘッダーの種類に関わらず適用されます。

[129] DOM の Headers オブジェクトの get メソッドは、 複数のヘッダーがあるとき 「, 」 (0x2C 0x20) で連結して返すと定められています。

[40] RFC 7231 はヘッダーの値が1つかリストか、 リストでない場合に複数のヘッダーが指定された時どうする処理するべきかをヘッダーの仕様書が明記することを検討するよう求めています >>39。

[443] Vary: ヘッダーは構文が # を使って定義されていますが、 それとは別に * という値も認められていて、「欄値全体が #」 という条件を満たしませんから、複数指定できません。

[57] RFC 4236 は、 RFC 2616 では拡張ヘッダーは同名で複数含めることが認められていないとして、 OPES に未対応の HTTP 串は動作しないかもしれないと主張しています >>56。 RFC 2616 の何を根拠としているのかは不明ですし、 RFC 723x にはそのような制限はありません。

[98] WebSocket handshake で使われるヘッダーの一部は、 要求と応答のいずれであるかによって、 複数指定できるかどうかが異なります。

[445] ヘッダーを複数指定できるかどうかは、 >>444 の JSON データファイルの multiple フラグで確認できます。

串

[435] 串は、通信連鎖の端点や資源の状態や選択された表現 (payload 以外) についての情報を提供するヘッダーについては、 特に認められている場合やプライバシーやセキュリティーのため必要な場合を除き、 変更するべきではありません >>434。

[45] HTTP の仕様上は >>435 のような限定的な要件しか示されていますが、 実用上、串は、ヘッダーの定義上求められている場合と変形のために必要な場合を除き、 ヘッダーを追加したり、削除したりするべきではないと思われます。

[50] キャッシュ項目

CGI

[2] CGI においては、要求メッセージに含まれるHTTPヘッダーは HTTP_* メタ変数群によって鯖からCGIスクリプトに伝達されます。

[48] また応答メッセージに含まれるべきHTTPヘッダーは、 HTTPヘッダーとほぼ同等のCGIヘッダーによってCGIスクリプトから鯖に伝達されます。 HTTP_*、CGIヘッダー

FCAST

[63] FCAST でも HTTPヘッダーがメタデータの記述方法として採用されています >>62。実装はこれに対応しなければなりません >>66。

[65] ただし UTF-8 で符号化されたテキストとされています >>62。 RFC 2616 では HTTPヘッダーは ISO-8859-1 とされていますが、 両者の関係は明確にはなっていません。 FCAST

関連

[133] CATPヘッダー

歴史

[68] HTTP/0.9 時代には HTTPヘッダーは存在していませんでしたが、 HTTP/1.0 で MIME (風なもの) が採用された時に RFC 822ヘッダーも輸入されてきました。

[69] 元々は RFC 822 や MIME と異なるヘッダーの仕組みを意図的に導入しようとしたわけではなく、 HTTP が MIME の応用の一つとなることを意図していたようではありますが、 電子メールと HTTP で実装が共通化されることもほとんどあるわけではなく、 次第に実装も仕様も乖離していったようです。

[70] そのような経緯から、一部のヘッダーは電子メールや MIME と HTTP で共通になっています。しかしその多くは構文や意味が細部では異なっています。 また同名のヘッダーの処理や非ASCII文字の取り扱いなどで、 HTTP は独自の規定を設けるようになりました。

[71] 結局 HTTP と電子メールはヘッダー名の IANA登録簿を共有するくらいで、 ヘッダーの共通の構文も個別の構文も全く異なるものとなっています。 (IANA登録簿も同じ一覧表に掲載されているだけで、別のプロトコルとしての登録になっています。)

[1] HTTP の頭欄は4つに分類できます。

1. 一般頭欄 (general-header fields)
2. 要求頭欄 (request-header fields)
3. 応答頭欄 (response-header fields)
4. 実体頭欄 (entity-header fields)

[3] HTTP の頭欄の順序には指定はありません。 とはいえ、 RFC1945, RFC2068, RFC2616 は「良い習慣」 (“good practice”) である順序を述べています。種類別に >>1 の順序で並べるのが良いそうです。 (種類ごとの順序は決められていません。 もし ABNF 構文の登場順にするとすれば、アルファベット順になります。)

[4] HTTP Response Headers http://msdn.microsoft.com/workshop/author/dhtml/reference/constants/response_headers.asp

M$ が知っているらしい「応答頭欄」の一覧です。 M$ 的には応答で帰ってくる欄は全て応答頭欄というらしいです。 単なる一覧であって簡単な説明しかありません。

Site-Enter: のような独自拡張欄は載っていません。

怪しげな欄を抜き出してみると:

CONTENT-TRANSFER_ENCODING

ECHO-HEADERS

Not implemented.

ECHO-HEADERS-CRLF

Not implemented.

ECHO-REPLY

Not implemented.

ECHO-REQUEST

Not implemented.

ORIG-URI

RAW-HEADERS

All the headers returned by the server. Each header is terminated by "\0". An additional "\0" terminates the list of headers.

RAW-HEADERS-CRLF

All the headers returned by the server. Each header is separated by a carriage return/line feed (CR/LF) sequence.

STATUS-CODE

Status code returned by the server. For a list of possible values, see HTTP Status Codes.

STATUS-TEXT

Any additional text returned by the server on the response line.

VERSION

Last response code returned by the server.

リンクがある wininet 系の関数で指定する値も含めているのかもしれませんが。

他にも Cookie: 欄が載っているとか。 WinIE からサーバーに Cookie 発行するんでしょうか?

• [5] 「foo :」のように : の前に WSP が入っていると扱えない UA があるので注意が必要です。
• [6] Nonstandard HTTP Headers http://web.archive.org/web/20020610043404/http://www.dais.is.tohoku.ac.jp/~kabe/WWW/nonstdhdr.html: 有名な『UserAgent についてのたわごと』の人が書いたメモ。

[60] RFC 4229 は既存のHTTPヘッダーをIANA登録簿に登録されています。 登録時の「状態」は次のように決めているようです。

[61] I-D はいくつかだけ選ばれていて、登録対象になっていないものも多々ありますが、 どのように選択したのか不明です。また IETF と W3C 以外の標準化団体等のヘッダーや、広く用いられていても I-D などになっていないヘッダーはまったく含まれていません。

[8] URLRequestHeader - Adobe ActionScript® 3 (AS3 ) API Reference ( (2014-02-19 08:18:03 +09:00 版)) http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/net/URLRequestHeader.html

[9] IRC logs: freenode / #whatwg / 20140610 ( (2014-06-11 15:22:06 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20140610

[10] Rework all things request headers · 35b2c8b · whatwg/fetch ( (2014-06-13 15:03:38 +09:00 版)) https://github.com/whatwg/fetch/commit/35b2c8b42797e1b2bc8e97f204aaf7c618599202

[11] Align with new Fetch header terminology and unsafe request flag · 6766628 · whatwg/xhr ( (2014-06-13 15:03:59 +09:00 版)) https://github.com/whatwg/xhr/commit/676662852dbb08836f3697f293484a78167938bf

[441] Illustrate how headers are (soon to be) divided in the platform · a6b39f5 · whatwg/fetch ( (2014-08-01 07:02:33 +09:00 版)) https://github.com/whatwg/fetch/commit/a6b39f5bbc8163f5336c4c384d62480c5003bd5e

[442] Clarify header ideas a bit. Still not great. https://github.com/slightly... · 137ff3d · whatwg/fetch ( (2014-08-02 07:30:33 +09:00 版)) https://github.com/whatwg/fetch/commit/137ff3df74d0bb5cbc4aadbbdceb9169d30c3f36

[448] RFC 3507 - Internet Content Adaptation Protocol (ICAP) ( (2014-06-08 07:17:07 +09:00 版)) http://tools.ietf.org/html/rfc3507#section-4.3

[449] draft-aranda-dispatch-q4s-02 - The Quality for Service Protocol ( (2014-07-28 09:14:06 +09:00 版)) http://tools.ietf.org/html/draft-aranda-dispatch-q4s-02#section-4

[450] JSONヘッダー値

[451] RFC 4037 - Open Pluggable Edge Services (OPES) Callout Protocol (OCP) Core ( (2014-10-26 15:20:25 +09:00 版)) https://tools.ietf.org/html/rfc4037#section-3.1

[102] nextthing.org » Fun With HTTP Headers (2015-09-07 11:25:57 +09:00 版) http://www.nextthing.org/archives/2005/08/07/fun-with-http-headers

[103] HTTP header representation in Fetch (Anne van Kesteren 著, 2016-01-19 18:27:06 +09:00 版) https://lists.w3.org/Archives/Public/www-archive/2016Jan/0006.html

[105] Fix #189: expose headers as a basic map in Headers · whatwg/fetch@42464c8 (2016-01-29 16:50:28 +09:00 版) https://github.com/whatwg/fetch/commit/42464c8c3d2fd3437a19fc6afd2438a0fd42dde8

[106] 918764 – [XHR2] Wrong exception: "TypeError" is not "DOMException SyntaxError" ( (2016-06-07 18:50:10 +09:00)) https://bugzilla.mozilla.org/show_bug.cgi?id=918764

[107] Editorial: extract header sorting and combining ( (annevk著, 2016-06-07 22:55:09 +09:00)) https://github.com/whatwg/fetch/commit/9ca86dd4bebb0d0d7093893d4f3fef9a7d85dfad

[108] Define get(All)ResponseHeader(s) in terms of Fetch ( (annevk著, 2016-06-07 23:16:42 +09:00)) https://github.com/whatwg/xhr/commit/ecce3904ace0dbe382a652ea1d8e29c7885fe8c4

[114] Web Annotation Vocabulary (2017-02-24 02:14:26 +09:00) https://w3c.github.io/web-annotation/vocab/wd/#h-httprequeststate

[115] Selectors and States (2017-02-24 02:14:26 +09:00) https://w3c.github.io/web-annotation/selector-note/#h-httprequeststate_def

[116] Sort and lowercase header names in getAllResponseHeaders() example (annevk著, 2017-04-20 18:14:28 +09:00) https://github.com/whatwg/xhr/commit/76b482b68ed9c27e0cc65fd3a6e663999cfc25e4

[117] Editorial: make Request/Response's headers its own concept (jakearchibald著, 2017-08-10 21:33:51 +09:00) https://github.com/whatwg/fetch/commit/07999e9e5911ca246de2f31aace16f8eca9003bd

[118] Editorial: Making headers their own property by jakearchibald · Pull Request #575 · whatwg/fetch (2017-08-11 12:10:27 +09:00) https://github.com/whatwg/fetch/pull/575

[119] 655389 - CRLF Injection and the parsing of HTTP headers (2017-10-06 15:35:45 +09:00) https://bugzilla.mozilla.org/show_bug.cgi?id=655389

[120] draft-nottingham-structured-headers-00 - Structured Headers for HTTP (2017-10-30 21:14:27 +09:00) https://tools.ietf.org/html/draft-nottingham-structured-headers-00

• CTA-5004

[121] ABNF for metric-value · Issue #12 · w3c/server-timing (2017-11-03 14:27:21 +09:00) https://github.com/w3c/server-timing/issues/12

[122] Review request for Server-Timing · Issue #188 · w3ctag/design-reviews (2017-11-03 14:29:47 +09:00) https://github.com/w3ctag/design-reviews/issues/188

[123] Fix Origin header and "no-cors" redirects behavior (annevk著, 2018-05-28 18:17:18 +09:00) https://github.com/whatwg/fetch/commit/af45ce34d6943c2a31cfa1d306d6db3b24682634

[125] Specify identity encoding for range requests (jakearchibald著, 2018-06-06 16:26:21 +09:00) https://github.com/whatwg/fetch/commit/2f3d04d3713f6cd0f89d491217175b55911927be

[34] Define parsing for X-Content-Type-Options: nosniff in detail (annevk著, 2018-11-01 18:14:30 +09:00) https://github.com/whatwg/fetch/commit/32c7b1c76a43ea96b8663628b891b339553ae114

[49] mnot’s blog: Designing Headers for HTTP Compression (2019-05-12 10:50:14 +09:00) https://www.mnot.net/blog/2018/11/27/header_compression

[67] Define the Content-Type header parser (annevk著, 2018-11-27 18:47:01 +09:00) https://github.com/whatwg/fetch/commit/0b2bc05b2550dcbefe1321ea3e8026702514a798

[126] Editorial: defining header name sorting (annevk著, 2019-08-08 18:12:23 +09:00) https://github.com/whatwg/fetch/commit/b7de58c0fc898089894d577b0ee07a2d97cc6094

[128] Command-Line Interface — Streamlink 1.6.0 documentation (2020-09-30T20:32:48.000Z, 2020-10-01T07:49:37.748Z) https://streamlink.github.io/cli.html#cmdoption-http-header

[132] protocol-registries/http-fields: Registry for HTTP field names (headers and trailers) (2021-10-30T02:21:21.000Z) https://github.com/protocol-registries/http-fields

[134] Deliver Custom Content With CloudFront | AWS News Blog (2024-02-13T02:40:47.000Z, 2024-04-26T11:19:05.020Z) https://aws-amazon-com.translate.goog/blogs/aws/enhanced-cloudfront-customization/?_x_tr_sl=en&_x_tr_tl=ja&_x_tr_hl=ja&_x_tr_pto=sc