自定义HTTP标头：命名约定

2012年6月，建议使用“X-”前缀的做法已经正式成为RFC 6648 。 以下是相关的引用：

3.对新参数创建者的建议

…

3. 不应该用“X-”或类似的结构来为它们的参数名加上前缀。

4.对议定书设计者的建议

…

4. 不应该禁止带有“X-”前缀或类似结构的参数被注册。

5. 不得规定带有“X-”前缀或类似结构的参数需要被理解为非标准化的。

6. 不得规定没有“X-”前缀或类似结构的参数需要被理解为标准化的。

请注意，“不应该”（“不鼓励”）与“禁止”（“禁止”）不同，另请参阅RFC 2119关于这些关键字的其他规范。 换句话说，您可以继续使用“X-”前缀标题，但不建议使用这种标题，并且不得将它们记录为公共标准。

---

2011年6月，发布了第一份IETF草案 ，以反对对非标准标题使用“X-”前缀的建议。 原因是当以“X-”为前缀的非标准头文件变为标准时，删除“X-”前缀会破坏向后兼容性，迫使应用程序协议同时支持这两个名称（例如， x-gzip和gzip现在等同）。 所以，建议只是将它们合理地命名而不用“X-”前缀。

---

建议是用“X-”开始他们的名字。 例如X-Forwarded-For ， X-Requested-With 。 在RFC 2047的第5节中也提到了这一点。

这个问题需要重新阅读。 被问到的实际问题与CSS属性中的供应商前缀不相似，在这里，供应商支持和官方标准的前瞻性和考虑是合适的。 问的实际问题更类似于选择URL查询参数名称。 没有人应该关心他们是什么。 但是，定制名称是一个非常有效而且普遍的正确的事情。

理由：
它是关于定制的，特定于应用的头文件的开发者惯例 – “ 与其账户相关的数据 ” – 与供应商，标准组织或由第三方实施的协议无关，除了所讨论的开发人员只需要避免服务器，代理或客户端可能有其他打算使用的头名称。 出于这个原因，给出的“X-Gzip / Gzip”和“X-Forwarded-For / Forwarded-For”示例是没有意义的。 提出的问题是关于私有API的约定，类似于URL查询参数命名约定。 这是一个偏好和名称空间的问题; 任何代理或供应商没有“X”支持的“X-ClientDataFoo”的担忧显然是错误的。

“X-”前缀没有什么特别或不可思议的地方，但有助于明确它是一个自定义标题。 事实上，RFC-6648等人帮助支持使用“X-”前缀的情况，因为 – 作为HTTP客户端和服务器的供应商放弃前缀 – 您的应用特定的私有API，个人数据 – 传递机制变得更好 – 与少量官方保留标题名称的名称空间冲突绝缘。 也就是说，我个人的偏好和建议是更进一步，例如“X-ACME-ClientDataFoo”（如果你的小部件公司是“ACME”）。

恕我直言，IETF规范对回答OP的问题还不够具体，因为它没有区分完全不同的用例：（A）供应商一方面引入了新的全球适用的功能，如“Forwarded-For”，另一方面与（B）应用程序开发人员将应用程序特定字符串传递给客户机和服务器 （A）。这个规范只关注前者。 这里的问题是（B）是否有公约。 有。 它们涉及将这些参数按字母顺序组合在一起，并将它们与类型（A）的许多与标准相关的标题分开。 （B）使用“X-”或“X-ACME-”前缀是方便和合法的，并且不与（A）冲突。 （A）停止使用“X-”的厂商越多，（B）将变得越清晰。

例：
谷歌（在各个标准组织中占有一席之地）是，截至今天，20141102在我的回答的这个轻微的编辑中 – 目前使用“X-Mod-Pagespeed”来表示他们的Apache模块的版本转化给定的回应。 有人真的建议谷歌应该使用“Mod-Pagespeed”，没有“X-”，和/或要求IETF祝福它的使用？

概要：
如果您在您的应用程序中使用自定义HTTP标头（作为Cookie的一个有时适合的替代方法）来将数据传递到您的服务器或从您的服务器传递数据，而且这些标头显然不是意图在应用程序的上下文之外使用，名称 – 将它们与“X-”或“X-FOO-”前缀间隔是一个合理而常见的约定。

HTTP标头的格式在HTTP规范中定义。 我将要讨论HTTP 1.1，规范是RFC 2616 。 在第4.2节“消息头”中定义了头的一般结构：

  message-header = field-name ":" [ field-value ] field-name = token field-value = *( field-content | LWS ) field-content = <the OCTETs making up the field-value and consisting of either *TEXT or combinations of token, separators, and quoted-string> 

这个定义取决于两个主要支柱，即令牌和文本。 在2.2节，“基本规则”中对这两者进行了定义。 令牌是：

  token = 1*<any CHAR except CTLs or separators> 

依靠CHAR，CTL和分离器：

  CHAR = <any US-ASCII character (octets 0 - 127)> CTL = <any US-ASCII control character (octets 0 - 31) and DEL (127)> separators = "(" | ")" | "<" | ">" | "@" | "," | ";" | ":" | "\" | <"> | "/" | "[" | "]" | "?" | "=" | "{" | "}" | SP | HT 

TEXT是：

  TEXT = <any OCTET except CTLs, but including LWS> 

LWS是线性空白空间，其定义我不会再现，而OCTET是：

  OCTET = <any 8-bit sequence of data> 

这个定义有一个附注：

 The TEXT rule is only used for descriptive field contents and values that are not intended to be interpreted by the message parser. Words of *TEXT MAY contain characters from character sets other than ISO- 8859-1 [22] only when encoded according to the rules of RFC 2047 [14]. 

所以，有两个结论。 首先，很明显，标题名称必须由ASCII字符的子集构成 – 字母数字，标点符号，而不是其他标点符号。 其次，标题值的定义中没有任何内容将其限制为ASCII或排除8位字符：它明确地由八位字节组成，只有控制字符被禁止（注意CR和LF被认为是控制）。 此外，关于TEXT制作的评论意味着八位字节被解释为在ISO-8859-1中，并且存在用于表示编码之外的字符的编码机制（这是偶然的）。

所以，要特别回复@BalusC，很明显的是根据规范，标题值在ISO-8859-1中。 我已经在Tomcat的头文件中发送了高8859-1个字符（特别是一些法语中使用的重音元音），并通过Firefox正确解释了它们，所以在某种程度上，这在实践中以及在理论上都是有效的（虽然这是一个位置标题，其中包含一个URL，这些字符在URL中是不合法的，所以这实际上是非法的，但根据不同的规则！）。

也就是说，我不会依赖ISO-8859-1在所有服务器，代理和客户端上工作，所以我坚持使用ASCII作为防御性编程。

头字段名称注册表在RFC3864中定义，没有什么特别的“X-”。

据我所知，没有私人标题的指导方针; 有疑问，避免它们。 或者看看HTTP Extension Framework（ RFC 2774 ）。

了解更多的用例将是有趣的。 为什么不能将信息添加到消息体？

修改，或者更正确地说， 添加额外的HTTP头是一个伟大的代码调试工具，如果没有别的。

当一个URL请求返回一个重定向或者一个图像时，没有html页面来临时将调试代码的结果写入到 – 至少不是在浏览器中可见的。

一种方法是将数据写入本地日志文件，稍后再查看该文件。 另一种方法是暂时添加反映正在调试的数据和变量的HTTP标头。

我经常添加额外的HTTP头文件，比如X-fubar-somevar：或者X-testing-someresult：来测试一些东西，并且发现了许多本来很难追踪的bug。