HTTP

核心用法

本 Skill 系统梳理 HTTP 协议的工程实践要点，涵盖 10 大关键领域：

重定向机制：区分 307/308（保持方法）与 301/302（可能转 GET），API 场景必须使用前者；需防范重定向循环。

缓存控制组合：no-store 彻底禁用缓存，no-cache 实为强制验证，immutable 适用于版本化静态资源；Vary 头部是关键但常被遗漏。

条件请求与乐观锁：ETag 机制配合 If-None-Match/If-Match，实现高效缓存验证与并发控制（412 错误码）。

CORS 预检优化：识别触发预检的 5 类场景，通过 Access-Control-Max-Age 缓存减少 OPTIONS 请求。

安全头部必设：HSTS、nosniff、CSP 构成基础防御层，其中 HSTS 一旦启用难以回退。

范围请求：206 Partial Content 实现断点续传，需正确处理 416 错误。

错误响应规范：结构化 JSON、请求 ID 关联、生产环境隐藏堆栈。

重试模式：幂等方法默认可重试，POST 需配合幂等键；指数退避加抖动避免雪崩。

显著优点

• 覆盖 RFC 标准与浏览器/服务端实际行为差异
• 提供可直接落地的头部配置模板（如静态资源缓存组合）
• 包含防御性编程细节（重定向循环限制、幂等键生成）

局限性与风险

• 未涉及：TLS 配置细节、HTTP/3 特性、具体框架实现差异
• CSP 简化：仅建议 report-only 起步，未提供具体策略示例
• WebSocket：仅提及升级握手，未覆盖帧协议与心跳机制

适合人群

后端开发工程师、API 设计师、DevOps/SRE 需排查 HTTP 层问题的技术人员。

常规风险

• HSTS 配置错误将导致站点长期无法通过 HTTP 访问
• Vary 头部遗漏会造成缓存污染（如 CORS 响应被错误复用）
• 幂等键实现不当可能导致重复处理或数据不一致

概述

该HTTP Skill是一份纯文档型的技术参考指南，系统整理了HTTP协议的最佳实践，涵盖重定向、缓存控制、条件请求、CORS、安全头部、范围请求、错误响应等核心主题。作为T-MD（纯文档）分类的Skill，它不包含任何可执行代码，仅提供结构化的知识参考。

核心内容

重定向规范：澄清307/308与301/302的关键区别——前者保留请求方法，后者可能将POST转为GET；强调API场景必须使用307/308。

缓存策略组合：详细区分no-store（不存储）、no-cache（存但必验）、private/max-age=0（用户专属即时刷新）、public/immutable（静态资源长期缓存）等场景的头部配置；特别指出Vary头部的重要性。

条件请求机制：ETag优先用于API，强/弱ETag的区别；If-Match实现乐观锁，412响应码的正确使用。

CORS预检：列举触发OPTIONS请求的四大条件（自定义头部、非简单Content-Type、PUT/DELETE/PATCH、ReadableStream体）。

安全头部：HSTS（不可轻易撤销）、nosniff防MIME嗅探、X-Frame-Options防点击劫持、CSP建议从report-only开始。

范围请求：206 Partial Content响应格式，416错误处理。

重试模式：幂等方法默认可重试，POST需幂等键；指数退避+抖动防惊群；尊重Retry-After。

显著优点

• 内容权威：涵盖RFC标准与工程实践的衔接点（如307 vs 308的语义差异）
• 场景实用：提供可直接复制的头部组合（如private, max-age=0, must-revalidate）
• 风险警示：标注HSTS"一旦设置难以撤销"等关键约束
• 安全零风险：纯Markdown，无代码执行、无依赖、无网络请求

潜在局限

• 来源可信度T3：匿名开发者维护，无官方组织背书
• 内容时效性：HTTP标准演进需用户自行跟踪更新
• 无交互性：纯参考文档，不提供配置验证或调试工具

适合人群

• 全栈开发者查阅状态码语义与缓存配置
• API设计者规范错误响应格式与CORS策略
• 运维人员配置CDN缓存规则与安全头部
• 技术面试准备者系统复习HTTP细节

常规风险

尽管代码层面安全（S+评级），作为知识型Skill仍需注意：

• 内容误导风险：T3来源建议交叉验证关键配置（如CSP策略）
• 生产应用风险：文档推荐值需结合实际业务测试
• 标准演进风险：HTTP/3等新协议特性未覆盖