是否有一个可接受的HTTP头的最大允许大小?如果有,是什么?如果不是,这是特定于服务器的东西,还是允许任何大小的头的公认标准?
当前回答
2011年的RFC 6265规定了cookie的具体限制。
https://www.rfc-editor.org/rfc/rfc6265 6.1. 限制
实际的用户代理实现在数量和 它们可以存储的cookie大小。一般使用的用户代理应该 提供以下每个最低功能:
o每个cookie至少4096个字节(由 cookie的名称、值和属性的长度)。
o每个域至少50个cookie。
o总共至少3000个饼干。
服务器应该使用尽可能少和尽可能小的cookie来避免 达到这些实现限制并使网络最小化 由于Cookie报头包含在每个请求中的带宽。
如果用户代理返回失败,服务器应该正常降级 Cookie头中的一个或多个Cookie,因为用户代理可能会 在任何时间从用户的命令驱逐任何cookie。
--
RFC的预期受众是用户代理或服务器必须支持的内容。似乎要调优您的服务器以支持浏览器所允许的功能,您需要配置4096*50作为限制。正如下面的文本所示,这似乎远远超出了典型web应用程序所需要的。使用当前限制和RFC概述的上限,并比较较高配置的内存和IO结果是很有用的。
其他回答
这是最流行的网络服务器的限制
Apache - 8K Nginx - 4K-8K Iis - 8k-16k 雄猫- 8K - 48K 节点(<13)- 8K;(>13) - 16k
如果您打算使用任何像Akamai这样的DDOS提供商,他们的响应头大小最大限制为8k。所以尽量将响应头大小限制在8k以下。
HTTP对每个报头的长度没有预先定义的限制 字段或标题节的长度作为一个整体,如所述 第2.5节。对单个头文件的各种特殊限制 场长是在实践中发现的,往往视具体情况而定 领域的语义。
HTTP头值受服务器实现的限制。Http规范不限制头的大小。
接收请求头字段或一组字段的服务器, 大于它希望的进程必须响应一个适当的4xx (客户端错误)状态码。忽略这样的报头字段 增加服务器对请求走私攻击的脆弱性 (9.5节)。
当这种情况发生时,大多数服务器将返回413实体过大或适当的4xx错误。
客户端可以丢弃或截断接收到的报头字段 如果字段语义大于客户端希望处理的值 这样就可以在不更改的情况下安全地忽略掉所删除的值 消息框架或响应语义。
不封顶的HTTP报头大小会使服务器暴露在攻击之下,并降低其服务有机流量的能力。
源
我还发现在某些情况下,在许多头文件的情况下出现502/400的原因可能是因为有大量的头文件而不考虑大小。 来自文档
tune.http.maxhdr Sets the maximum number of headers in a request. When a request comes with a number of headers greater than this value (including the first line), it is rejected with a "400 Bad Request" status code. Similarly, too large responses are blocked with "502 Bad Gateway". The default value is 101, which is enough for all usages, considering that the widely deployed Apache server uses the same limit. It can be useful to push this limit further to temporarily allow a buggy application to work by the time it gets fixed. Keep in mind that each new header consumes 32bits of memory for each session, so don't push this limit too high.
https://cbonte.github.io/haproxy-dconv/configuration-1.5.html#3.2-tune.http.maxhdr
2011年的RFC 6265规定了cookie的具体限制。
https://www.rfc-editor.org/rfc/rfc6265 6.1. 限制
实际的用户代理实现在数量和 它们可以存储的cookie大小。一般使用的用户代理应该 提供以下每个最低功能:
o每个cookie至少4096个字节(由 cookie的名称、值和属性的长度)。
o每个域至少50个cookie。
o总共至少3000个饼干。
服务器应该使用尽可能少和尽可能小的cookie来避免 达到这些实现限制并使网络最小化 由于Cookie报头包含在每个请求中的带宽。
如果用户代理返回失败,服务器应该正常降级 Cookie头中的一个或多个Cookie,因为用户代理可能会 在任何时间从用户的命令驱逐任何cookie。
--
RFC的预期受众是用户代理或服务器必须支持的内容。似乎要调优您的服务器以支持浏览器所允许的功能,您需要配置4096*50作为限制。正如下面的文本所示,这似乎远远超出了典型web应用程序所需要的。使用当前限制和RFC概述的上限,并比较较高配置的内存和IO结果是很有用的。
推荐文章
- 如何使HTTP请求在PHP和不等待响应
- PATCH和PUT请求的主要区别是什么?
- 我可以把我所有的http://链接都改成//吗?
- URL为AJAX请求编码一个jQuery字符串
- 编译System.Net.HttpClient的查询字符串
- 摘要认证和基本认证的区别是什么?
- Axios -删除请求与请求体和头?
- 如何在http获取请求设置报头?
- 如何使用Ruby on Rails进行HTTP请求?
- REST API最佳实践:查询字符串中的参数vs请求体中的参数
- Access-Control-Allow-Credentials报头到底做什么?
- Express.js中的res.send和res.json的区别
- 如何评估http响应代码从bash/shell脚本?
- 如何从查询字符串读取值与ASP。网络核心?
- 302和307重定向有什么区别?