HTTP 客户端是否应该解析 HTTP 标头以响应错误 404 Not Found

Question

如果收到带有错误 4xx 的 HTTP 响应，我找不到任何 RFC 或 HTTP 客户端行为标准。我知道 401、407 是解析 HTTP 标头时的示例，但是...

我有 OPTIONS 方法 (HTTP1.1) 的具体问题。服务器响应 401 Unauthorized，因此客户端尝试进行身份验证并重新发送带有身份验证的请求。之后响应出现错误 404 Not Found 并且 HTTP 标头填充了 Set-Cookie HTTP 标头。客户端使用 Apache Java HTTPClient/HTTPComponents，它会在响应中出现错误时忽略 HTTP 标头。

这个 HTTP Header 应该被客户端接受吗？我认为不应该，但我在 RFC 中找不到支持性引用。

Answer 1

RFC 2616 未指定应忽略任何标头，not for 404 responses 和 not for 4xx responses in general。

RFC 6265 允许客户端忽略 Set-Cookie 标头，但没有指定可能发生这种情况的情况；给出了一个例子，不包括你的情况：

用户代理可能希望阻止对“第三方”请求的响应 从设置cookies

在您的情况下，由于您的服务器似乎使用 HTTP 基本访问身份验证，因此它似乎与 Set-Cookie 标头无关。在 HTTP 基本身份验证中，Authorization 标头由客户端随每个请求一起发送，因此不需要将状态保存在 cookie 中。

从您的问题中不清楚您是否有一个非常特定的 HTTP 服务器正在与之交谈，或者您是否正在实现一个通用的 HTTP 客户端，该客户端应该与您抛出的任何服务器一起工作。如果您遇到这样一种特殊情况，即您使用的 HTTP 服务器发送带有404 响应的状态，并且您需要遵守该状态才能与服务器通信，并且您无法控制服务器，那么它不管标准怎么说；您将遵守发送的状态，否则您将无法与服务器对话。

另一方面，如果您正在实现一个通用客户端并且需要它在不考虑远程服务器的情况下工作，那么您最好的选择是坚持使用RFC 1958：

发送时要严格，接收时要宽容。 在发送到时，实现必须严格遵循规范 网络，并容忍来自网络的错误输入。当在 怀疑，静默丢弃错误输入，不返回错误 除非规范要求，否则消息。

对我来说，这意味着无论状态代码如何，您都应该尊重收到的完整回复，除非您有客观原因使您无法这样做。我认为没有理由忽略该状态，即使它违反了标准（或者在这种情况下，是您对标准的个人看法，因为它没有说明接受或忽略该状态）。

更新：RFC 2617 (HTTP Authentication) 声明：

客户端应该假设所有路径都在或深于 Request-URI 的路径字段中的最后一个符号元素也是 位于基本领域值指定的保护空间内 当前的挑战。客户端可以抢先发送 相应的 Authorization 标头，其中包含对资源的请求 该空间没有收到来自服务器的另一个挑战。

如果服务器期望对一个 URL 进行 HTTP 身份验证，但对它下面的 URL 不接受它，则需要对它们进行单独的基于 cookie 的身份验证，这是高度不一致的。如果你的服务器实现有什么需要改变的，那就是协调所有资源的身份验证方案。