http 协议的有效字符

最近在研究请求头、响应头的有效字符,首先看看 rfc2616 关于消息头的定义:

RFC2616 4.2 Message Headers

beyond the common forms.

复制代码
       message-header = field-name ":" [ field-value ]
       field-name     = token
       field-value    = *( field-content | LWS )
       field-content  = <the OCTETs making up the field-value
                        and consisting of either *TEXT or combinations
                        of token, separators, and quoted-string>
       

这个是关于消息头的语法定义,其中一些细节在标准的2.2 Basic Rules内定义如下:

复制代码
CR             = <US-ASCII CR, carriage return (13)>
LF             = <US-ASCII LF, linefeed (10)>
SP             = <US-ASCII SP, space (32)>
HT             = <US-ASCII HT, horizontal-tab (9)>
CRLF           = CR LF
LWS            = [CRLF] 1*( SP | HT )
OCTET          = <any 8-bit sequence of data>
CHAR           = <any US-ASCII character (octets 0 - 127)>
CTL            = <any US-ASCII control character (octets 0 - 31) and DEL (127)>
TEXT           = <any OCTET except CTLs, but including LWS>

token          = 1*<any CHAR except CTLs or separators>
separators     = "(" | ")" | "<" | ">" | "@" | "," | ";" | ":" | ""
               | <"> | "/" | "[" | "]" | "?" | "=" | "{" | "}" | SP | HT

quoted-string  = ( <"> *(qdtext | quoted-pair ) <"> )
qdtext         = <any TEXT except <">>
quoted-pair    = "\" CHAR

语法说的很明白,field-content 可以是

1)token, separators, quoted-string 组成的字符串,

token:除开控制字符和分隔符的 us字符 [0, 127];

separators:分隔符

quoted-string:由一对引号括起来的 qdtext 或则 quoted-pair 组成;

qdtext:除了引号 " 之外的TEXT (即任何 8 位字节,除开控制字符,但包括CR LF HT) quoted-pair:(反斜杠后跟 [0, 127] 范围内的任何值)。

2)* TEXT:字符串,除开所有控制字符的8位字节,包括 CR LF HT。

如果研究完协议的描述,可以看到,所有的8字节ASCII码事实上都在标准的允许之内!

但是,实际上,几乎所有的web服务器都不会接受除了CR LF HT之外的控制字符,以及大于等于127的字符(即几乎所有不可读的字符都不在范围之内)。

实际上的事实是,被允许的字符很严格,其范围属于:

9, 10, 13, [32, 127)

相关推荐
pipip.1 小时前
UDP————套接字socket
linux·网络·c++·网络协议·udp
Félix2511 小时前
计算机网络笔记(不全)
网络·计算机网络
阳洞洞2 小时前
https和http有什么区别
网络协议·http·https
朱包林4 小时前
day45-nginx复杂跳转与https
linux·运维·服务器·网络·云计算
孞㐑¥5 小时前
Linux之Socket 编程 UDP
linux·服务器·c++·经验分享·笔记·网络协议·udp
you秀6 小时前
HTTPS通信流程:SSL/TLS握手全解析
网络协议·https·ssl
2501_915921438 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918418 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Absinthe_苦艾酒9 小时前
计算机网络(三)传输层TCP
网络·tcp/ip·计算机网络
GLAB-Mary10 小时前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全