核心用法
本 Skill 系统梳理 HTTP 协议的工程实践要点,涵盖 10 大关键领域:
重定向机制:区分 307/308(保持方法)与 301/302(可能转 GET),API 场景必须使用前者;需防范重定向循环。
缓存控制组合:no-store 彻底禁用缓存,no-cache 实为强制验证,immutable 适用于版本化静态资源;Vary 头部是关键但常被遗漏。
条件请求与乐观锁:ETag 机制配合 If-None-Match/If-Match,实现高效缓存验证与并发控制(412 错误码)。
CORS 预检优化:识别触发预检的 5 类场景,通过 Access-Control-Max-Age 缓存减少 OPTIONS 请求。
安全头部必设:HSTS、nosniff、CSP 构成基础防御层,其中 HSTS 一旦启用难以回退。
范围请求:206 Partial Content 实现断点续传,需正确处理 416 错误。
错误响应规范:结构化 JSON、请求 ID 关联、生产环境隐藏堆栈。
重试模式:幂等方法默认可重试,POST 需配合幂等键;指数退避加抖动避免雪崩。
显著优点
- 覆盖 RFC 标准与浏览器/服务端实际行为差异
- 提供可直接落地的头部配置模板(如静态资源缓存组合)
- 包含防御性编程细节(重定向循环限制、幂等键生成)
局限性与风险
- 未涉及:TLS 配置细节、HTTP/3 特性、具体框架实现差异
- CSP 简化:仅建议 report-only 起步,未提供具体策略示例
- WebSocket:仅提及升级握手,未覆盖帧协议与心跳机制
适合人群
后端开发工程师、API 设计师、DevOps/SRE 需排查 HTTP 层问题的技术人员。
常规风险
- HSTS 配置错误将导致站点长期无法通过 HTTP 访问
Vary头部遗漏会造成缓存污染(如 CORS 响应被错误复用)- 幂等键实现不当可能导致重复处理或数据不一致