http 协议的有效字符

最近在研究请求头、响应头的有效字符,首先看看 rfc2616 关于消息头的定义:

RFC2616 4.2 Message Headers

beyond the common forms.

复制代码
       message-header = field-name ":" [ field-value ]
       field-name     = token
       field-value    = *( field-content | LWS )
       field-content  = <the OCTETs making up the field-value
                        and consisting of either *TEXT or combinations
                        of token, separators, and quoted-string>
       

这个是关于消息头的语法定义,其中一些细节在标准的2.2 Basic Rules内定义如下:

复制代码
CR             = <US-ASCII CR, carriage return (13)>
LF             = <US-ASCII LF, linefeed (10)>
SP             = <US-ASCII SP, space (32)>
HT             = <US-ASCII HT, horizontal-tab (9)>
CRLF           = CR LF
LWS            = [CRLF] 1*( SP | HT )
OCTET          = <any 8-bit sequence of data>
CHAR           = <any US-ASCII character (octets 0 - 127)>
CTL            = <any US-ASCII control character (octets 0 - 31) and DEL (127)>
TEXT           = <any OCTET except CTLs, but including LWS>

token          = 1*<any CHAR except CTLs or separators>
separators     = "(" | ")" | "<" | ">" | "@" | "," | ";" | ":" | ""
               | <"> | "/" | "[" | "]" | "?" | "=" | "{" | "}" | SP | HT

quoted-string  = ( <"> *(qdtext | quoted-pair ) <"> )
qdtext         = <any TEXT except <">>
quoted-pair    = "\" CHAR

语法说的很明白,field-content 可以是

1)token, separators, quoted-string 组成的字符串,

token:除开控制字符和分隔符的 us字符 0, 127

separators:分隔符

quoted-string:由一对引号括起来的 qdtext 或则 quoted-pair 组成;

qdtext:除了引号 " 之外的TEXT (即任何 8 位字节,除开控制字符,但包括CR LF HT) quoted-pair:(反斜杠后跟 0, 127 范围内的任何值)。

2)* TEXT:字符串,除开所有控制字符的8位字节,包括 CR LF HT。

如果研究完协议的描述,可以看到,所有的8字节ASCII码事实上都在标准的允许之内!

但是,实际上,几乎所有的web服务器都不会接受除了CR LF HT之外的控制字符,以及大于等于127的字符(即几乎所有不可读的字符都不在范围之内)。

实际上的事实是,被允许的字符很严格,其范围属于:

9, 10, 13, [32, 127)

相关推荐
大公产经晚间消息1 小时前
《寻访独角兽》首期走进太仓,探访小科智行的硬科技“突围”
网络·人工智能·科技
JoyCong19982 小时前
ToDesk新功能科普:屏幕墙、协作模式、设备别名、USB映射...
网络·科技·电脑·远程工作·远程操作
数智化管理手记3 小时前
智能财务如何减少财务加班?智能财务落地需要哪些工具支撑?
大数据·网络·数据库·数据挖掘·精益工程
paopaokaka_luck5 小时前
基于Springboot3+vue3的旅游景区点评系统(AI审核、webSocket聊天、协同过滤算法、Echarts图形化分析)
websocket·网络协议·旅游
其实防守也摸鱼7 小时前
运维--安全与数据库
网络·数据库·学习·安全·安全威胁分析·数据库架构·软件安全
wbs_scy7 小时前
仿 muduo 高并发服务器项目:实现 Connection 连接管理模块,并整合 Any 上下文
运维·服务器·网络
熬夜苦读学习8 小时前
基于websocket的多用户五子棋网页游戏
linux·服务器·网络·websocket·网络协议·游戏·五子棋
蝶恋舞者9 小时前
Wireshark 抓包工具
网络·测试工具·wireshark
Sirius Wu9 小时前
OpenClaw Observability 并发安全(Per-Request Hook)完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
互联网科技看点10 小时前
2026年短信服务性价比分析:飞鸽云与头部云厂商
大数据·网络