平时写网页、调接口,总免不了和HTTP、HTTPS打交道。很多人问:HTTPS的请求头和HTTP相比,到底有没有区别?答案是:从你写的代码角度看,基本没差;但从传输过程看,背后多了一层加密。
表面上看,请求头长得一样
你在浏览器里发一个GET请求,不管是HTTP还是HTTPS,写的请求头几乎一模一样:
GET /api/user HTTP/1.1\r\nHost: example.com\r\nUser-Agent: Mozilla/5.0\r\nAccept: application/json\r\nAuthorization: Bearer xyz123\r\n\r\n这些头字段,比如 Host、User-Agent、Authorization,不会因为用了HTTPS就变样。你用 Axios、fetch 或者原生 XMLHttpRequest 发请求,代码完全不用改。
真正的区别在“看不见”的地方
HTTPS其实就是在HTTP外面套了层SSL/TLS加密。请求头本身的内容不变,但整个通信过程被加密了。这意味着中间人(比如公共Wi-Fi路由器)看不到你传的具体内容,包括请求头里的敏感信息,比如Cookie、Token。
举个例子:你在咖啡馆连Wi-Fi,登录一个HTTP网站,别人抓包就能看到你的 Authorization 字段明文。但如果是HTTPS,哪怕被抓包,看到的也是加密数据。
有些头字段是HTTPS才有的倾向性行为
虽然协议层面没强制,但实际中有些头只会在HTTPS环境下出现或被重视。比如:
- Strict-Transport-Security:告诉浏览器以后必须用HTTPS访问,避免降级攻击。
- Upgrade-Insecure-Requests:让浏览器自动把页面内的HTTP资源请求升级成HTTPS。
还有像 Set-Cookie 时加 Secure 标志,表示这个Cookie只能通过HTTPS传输:
Set-Cookie: session=abc123; Secure; HttpOnly这种标记在HTTP下意义不大,算是HTTPS环境下的安全习惯。
开发调试时也别搞混
本地开发时,很多前端项目跑在 http://localhost:3000,但接口可能部署在HTTPS域名上。这时候浏览器会拦跨域请求,尤其是带凭证的。解决办法要么配代理,要么后端开CORS,并且注意 Access-Control-Allow-Origin 别用通配符当涉及凭据。
另外,某些API(比如微信登录、支付接口)明确要求回调地址必须是HTTPS,这是为了防止敏感信息泄露。你填个HTTP地址,直接被拒。
所以,虽然请求头写法没变,但HTTPS带来的安全约束,已经悄悄影响了我们配置头的方式。