有实际的 HTTP 标头长度限制吗？

Question

我有一个 Web 应用程序，它使用 XmlHttpRequest 对象://www.w3.org/TR/XMLHttpRequest/#setrequestheader" rel="noreferrer">setRequestHeader API。 我使用自定义标头名称（例如 X-Foo）和 JSON 结构化值。 它不是 URL QueryString 或 POST 正文的一部分，因为它是有关请求的元信息。

标头值是否有实际大小限制？ 如果我的 JSON 被截断，它将变得无法解析。 我最关心的是 Apache 2、Tomcat 6 和 IIS 7 中的限制。我在 Google 上搜索了 http 标头长度限制，但许多结果似乎已经过时。 用户代理字符串可以有多大？<中有一些相关评论/a> 但没有我想要的那么具体。

编辑： 我刚刚遇到了这个类似的问题 - http 标头值的最大值？

Answer 1

尽管每个 Web 服务器软件都有一些限制，但 是否有限制是有区别的HTTP 请求行 加上标头字段或每个标头字段。

以下是摘要：

• Apache 1.3，2.0，2.2, 2.3：8190 字节（对于每个标头字段）
• IIS：
  • 4.0：2097152 字节（用于请求行加上标头字段）
  • 5.0：131072 字节、16384 字节< /strong> 使用 Windows 2000 Service Pack 4（用于请求行和标头字段）
  • 6.0：16384 字节（对于每个标头字段）< /里>

  
  

• Tomcat：
  • 5.5.x/6.0.x：49152 字节（用于请求行和标头字段）
  • 7.0.x< /a>: 8190 字节（用于请求行和标头字段）

  
  

  
  

因此得出结论：要被上述所有 Web 服务器接受，请求的请求行加上标头字段不应超过 8190 字节。 这也是每个标头字段的限制（实际上甚至更少）。

Answer 2

是的，但限制是可配置的并且取决于平台。 例如，Tomcat 的默认限制为 8K。 我相信 IIS 6（不确定 IIS 7）有 16K 的限制。 我在对几个网站使用集成 Windows 身份验证时遇到了这个问题。 事实证明，我的安全令牌在编码到标头中时太大。 幸运的是，这些都是可配置的。 IIS 的注册表设置可以在 http://support.microsoft.com/kb/820129 中找到。 我相信要更改的关键设置是 MaxFieldLength（每个标头大小）和 MaxRequestBytes（请求的总大小）。

Answer 3

对于 Apache，我找到了Apache 安全性的服务器限制< /a> 文章列出了这些指令：

  # allow up to 100 headers in a request
  LimitRequestFields 100
  # each header may be up to 8190 bytes long
  LimitRequestFieldsize 8190

对于 Nginx，HttpCoreModule 中的 large_client_header_buffers 指令控制这一点：

请求的最长标头行也不能超过大小
一个缓冲区，否则客户端会收到错误“错误请求”(400)。

默认情况下，一个缓冲区的大小等于一页的大小，
取决于平台，4K 或 8K

Answer 4

虽然您可以配置服务器，但您不太可能真正通过防火墙、负载平衡器和代理进行全程配置。 保持较小的标头大小可以避免出现问题。

Answer 5

Flash Media Server 4.5 具有非常短的默认标头长度限制，这可能会导致服务器根本不响应，特别是在 cookie 负载适中的情况下。

请参阅： Flash Media Server 4.5 配置和管理：配置服务器
配置 Apache HTTP Server：指定最大 HTTP 标头行长度

在 Flash Media Server Adaptor.xml 文件中，MaxHeaderLineLength
element 决定服务器可以处理的 HTTP 标头的大小。
MaxHeaderLineLength 的默认值为 1024 字节。 一些浏览器
发送大于 1024 字节的标头。 在这种情况下，Apache 发送
返回空响应。 要解决此问题，请配置
MaxHeaderLineLength 到 8192。

注意：默认情况下，Apache HTTP 标头大小限制为 8 KB（8190 字节加回车符）。

将其放在这里以防标头大小限制在 Flash Media Server 上咬了别人。