Ist es akzeptabel für ein server zum senden einer HTTP-Antwort vor der gesamten Anfrage eingegangen ist?

Prüfen, eine große HTTP-request:

POST /upload HTTP/1.1
Content-Type: multipart/form-data
Content-Length: 1048576

...

Den client jetzt beginnt das hochladen eines megabyte an Daten, das kann eine Weile dauern. Der server wird jedoch bestimmt, dass die HTTP-Autorisierung erforderlich ist, so entscheidet es, die Antworten mit HTTP 401 Unauthorized.

MUSS der server warten, bis Sie empfangen hat den gesamten request (IE, Kopf - + CRLF CRLF + Content-Length bytes), bevor er reagieren kann?

In der Praxis wird ein solches Verhalten brechen sämtliche Browser? Tun Browser weiterhin das hochladen der Datei sowieso, oder werden Sie die übertragung stoppen, wenn Sie erhalten eine "vorzeitige" - Reaktion?

Wichtiger ist, in diesem Szenario, werden Sie in der Lage sein, um erfolgreich zu authentifizieren, und beginnen Sie das hochladen wieder (mit Anmeldeinformationen), oder ist es zu unzuverlässig, um schneiden Sie die laden wie diesem?

InformationsquelleAutor josh3736 | 2013-01-10
  1. 24

    Blick in RFC 2616 definiert das Protokoll, in Abschnitt 8.2.2 Überwachung von Verbindungen für die Fehler-Status-Nachrichten, die es Staaten

    HTTP/1.1 (oder höher) client-senden einer Nachricht-Körper überwachen, die Netzwerk-Verbindung für einen Fehler-status während dem senden der Anfrage. Wenn der client erkennt einen Fehler status, Sie SOLLTEN sofort aufhören, die übertragung des Körpers.

    Also ich würde sagen verwenden, Sie können springen in einen send einen 401-Fehler. Und dann suchen auf 10.4.2 401 Unauthorized

    Die Anfrage erfordert eine Benutzerauthentisierung. Die Antwort MUSS eine WWW-Authenticate-header-Feld (Abschnitt 14.47), die Herausforderung gilt für die angeforderte Ressource. Der client KANN die Anfrage wiederholen mit einem passenden Authorization-header-Feld

    Besagt, dass der client können versuchen, mit geeigneten Anmeldeinformationen.

    Habe ich noch nicht durchgeführt, keine Experimente, um zu sehen, wie Browser tatsächlich ausgeführt jedoch.

    • I ended up die Prüfung dieses Verhalten für ein etwas anderes problem, und die Antwort ist nicht schön. Alle Browser nicht verarbeiten, eine baldige Antwort, bis, nachdem Sie fertig sind senden der Anfrage.
    • Okay, also die RFC-Staaten SOLLTE der client "nicht mehr die übertragung der Körper". Aber der server kann nicht wissen, wo der nächste Auftrag beginnt, so dass der client "Beendigung der übertragung" bedeuten würde, trennen, weil keep-alive muss man wissen, das Ende der Anfrage.
    • Die Antwort führt zu einer anderen Frage. Konnte nicht die browser-abschneiden-und ersetzen Sie durch eine frühzeitige Anfrage Kündigung?
    • Es scheint, dass die Apache-HttpClient-Java nicht überlebt der server nicht Lesen Sie die gesamte Anfrage Körper, das ist traurig 🙁 Wir haben in dieser Ausgabe, wenn nicht mit pre-emptive HTTP-Basic-authentication und server sieht bereits aus dem Header, dass die Anfrage nicht erlaubt sein, und senden Sie sofort HTTP 401 zurück. Ich weiß, dass curl und wget überleben können diesem Fall. Meine Meinung ist, dass alle clients sollten wirklich in der Lage sein zu handhaben, denn es ist wichtig, machen es möglich, Server zum Schutz vor Denial-of-Service-Angriffe möglich gemacht durch böswillige clients senden von großen Anfragen.
    • Ich sehe das gleiche Problem. Alle Browser nicht sehen, die tatsächliche Antwort vom server. Sie übertragen die ganze Sache und sehen die Verbindung als geschlossen und versuchen Sie es erneut. Wenn der browser NICHT behoben, dann hat der server zu kompensieren und ist betroffen im Hinblick auf die Ressourcen in den Erhalt aller payloads gesendet. Wenn diese fertig waren, es schaffen würde, das Potenzial von DDOS-Attacken auf Daten warten, um zu laden, bevor Sie reagieren. Nicht gut. Die Browser unterstützen müssen, die spec.
    • Die bessere Lösung ist, um eine schnelle pre-flight-check, bevor Sie versuchen, senden Sie eine erhebliche Nutzlast. Wenn die Berechtigungen fehlschlagen, nicht zu senden die payload.
    • Ich wiederum erfahren, dass die Async-version von Apache HttpClient-Java macht ja auch den Versand am Anfang der Reaktion, wenn die Anfrage noch gesendet wurde, aber diese version gibt es auch, wenn kein Fehlerzustand vorhanden ist.

    InformationsquelleAutor David Hodgson
Schreibe einen Kommentar