http 协议的有效字符

最近在研究请求头、响应头的有效字符,首先看看 rfc2616 关于消息头的定义:

RFC2616 4.2 Message Headers

beyond the common forms.

复制代码
       message-header = field-name ":" [ field-value ]
       field-name     = token
       field-value    = *( field-content | LWS )
       field-content  = <the OCTETs making up the field-value
                        and consisting of either *TEXT or combinations
                        of token, separators, and quoted-string>
       

这个是关于消息头的语法定义,其中一些细节在标准的2.2 Basic Rules内定义如下:

复制代码
CR             = <US-ASCII CR, carriage return (13)>
LF             = <US-ASCII LF, linefeed (10)>
SP             = <US-ASCII SP, space (32)>
HT             = <US-ASCII HT, horizontal-tab (9)>
CRLF           = CR LF
LWS            = [CRLF] 1*( SP | HT )
OCTET          = <any 8-bit sequence of data>
CHAR           = <any US-ASCII character (octets 0 - 127)>
CTL            = <any US-ASCII control character (octets 0 - 31) and DEL (127)>
TEXT           = <any OCTET except CTLs, but including LWS>

token          = 1*<any CHAR except CTLs or separators>
separators     = "(" | ")" | "<" | ">" | "@" | "," | ";" | ":" | ""
               | <"> | "/" | "[" | "]" | "?" | "=" | "{" | "}" | SP | HT

quoted-string  = ( <"> *(qdtext | quoted-pair ) <"> )
qdtext         = <any TEXT except <">>
quoted-pair    = "\" CHAR

语法说的很明白,field-content 可以是

1)token, separators, quoted-string 组成的字符串,

token:除开控制字符和分隔符的 us字符 0, 127

separators:分隔符

quoted-string:由一对引号括起来的 qdtext 或则 quoted-pair 组成;

qdtext:除了引号 " 之外的TEXT (即任何 8 位字节,除开控制字符,但包括CR LF HT) quoted-pair:(反斜杠后跟 0, 127 范围内的任何值)。

2)* TEXT:字符串,除开所有控制字符的8位字节,包括 CR LF HT。

如果研究完协议的描述,可以看到,所有的8字节ASCII码事实上都在标准的允许之内!

但是,实际上,几乎所有的web服务器都不会接受除了CR LF HT之外的控制字符,以及大于等于127的字符(即几乎所有不可读的字符都不在范围之内)。

实际上的事实是,被允许的字符很严格,其范围属于:

9, 10, 13, [32, 127)

相关推荐
辣椒思密达30 分钟前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
huainingning1 小时前
交换机通过ftp下载文件或者传输文件到ftp服务器
运维·服务器·网络
花生了什么事o3 小时前
DNS:把域名翻译成 IP 的层级查询机制
网络·网络协议·tcp/ip
海域云-罗鹏4 小时前
多云连接策略实战指南:企业如何打破云孤岛,构建跨公有云、私有云与混合云的高效网络
网络
其实防守也摸鱼4 小时前
渗透--损坏的对象级别鉴权漏洞(Broken Object Level Authorization, BOLA)
大数据·网络·数据库·学习·tcp/ip·安全·安全威胁分析
hehelm4 小时前
IO 多路复用 — Reactor
linux·服务器·网络·数据库·c++
线束线缆组件品替网4 小时前
Amphenol ICC RJE1Y22610C42401线束组件应用解析
网络·数码相机·智能手机·计算机外设·电脑·电视盒子
2401_873479405 小时前
金融合规新规下IP查询怎么做?用IP离线库实现数据不出域
网络协议·tcp/ip·金融·ip
IT小白杨5 小时前
多账号环境稳定性由什么决定:指纹、网络、存储如何共同决定账号安全
网络·安全·开源软件·业界资讯·指纹浏览器
刘某的Cloud6 小时前
手工配置nginx的systemd服务
linux·运维·网络·nginx·systemd