PHP如何设置HTTP头信息_PHP使用header函数设置HTTP头信息详解

答案：PHP的header()函数用于设置HTTP头，必须在任何输出前调用，否则会触发“Headers already sent”错误。它可控制内容类型、重定向、缓存、Cookie及安全策略，是实现文件下载、页面跳转和性能优化的关键工具。正确使用需遵循输出缓冲、状态码指定、exit终止脚本等最佳实践，避免常见陷阱。

PHP通过其内置的

header()

解决方案

使用

header()

header()

基本用法：

header("Header-Name: Header-Value", [replace], [http_response_code]);

• Header-Name: Header-Value

  登录后复制
  : 这是最重要的部分，定义了要发送的HTTP头。

• replace

  登录后复制
  (可选，布尔值): 默认为

  true

  登录后复制
  。如果设置为

  true

  登录后复制
  ，它将替换同名的现有HTTP头。如果设置为

  false

  登录后复制
  ，则会添加一个新的同名HTTP头（这对于某些头，如

  Set-Cookie

  登录后复制
  ，非常有用）。

• http_response_code

  登录后复制
  (可选，整数): 设置HTTP响应状态码，如

  200

  登录后复制
  (OK),

  301

  登录后复制
  (Moved Permanently),

  404

  登录后复制
  (Not Found) 等。

示例：

立即学习“PHP免费学习笔记（深入）”；

<?php
// 设置内容类型为JSON
header("Content-Type: application/json; charset=UTF-8");

// 设置页面重定向
header("Location: /new-page.php", true, 302);
exit(); // 重定向后通常需要停止脚本执行

// 设置缓存控制，让浏览器在60秒内缓存响应
header("Cache-Control: max-age=60, public");

// 发送文件下载
header("Content-Description: File Transfer");
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename=\"document.pdf\"");
header("Content-Length: " . filesize("path/to/document.pdf"));
readfile("path/to/document.pdf");
exit();

// 设置一个Cookie
header("Set-Cookie: user_id=123; expires=" . gmdate("D, d M Y H:i:s T", time() + 3600) . "; path=/; httponly");

// 设置一个自定义头
header("X-Custom-Header: My-Value");

// 设置HTTP状态码，例如未授权
header("HTTP/1.0 401 Unauthorized");
?>

为什么HTTP头信息对Web应用如此关键？

在我看来，HTTP头信息是Web通信的“幕后语言”，它虽然不直接呈现在用户眼前，却深刻地决定了用户如何与你的应用互动，甚至影响着应用的性能和安全性。想象一下，如果Web服务器和浏览器之间没有这些“约定”，那将是一片混乱。

首先，它控制着内容的呈现方式。

Content-Type

Content-Type: application/json

其次，HTTP头是性能优化的核心。

Cache-Control

Expires

ETag

再者，安全策略的实施也离不开它。

X-Frame-Options

Content-Security-Policy

Strict-Transport-Security

最后，它还是实现特定功能的关键，比如文件下载 (

Content-Disposition

Location

header()

header()

登录后复制

函数有哪些常见陷阱和最佳实践？

在使用

header()

常见陷阱：

1. “Headers already sent”错误： 这是最让人头疼的问题。它的根本原因在于，

   header()

   登录后复制
   函数尝试在PHP已经开始向浏览器输出内容之后发送HTTP头。一旦有任何输出，无论是HTML、空格、换行符，还是PHP文件开头的UTF-8 BOM（字节顺序标记），PHP就会认为HTTP头已经发送，后续的

   header()

   登录后复制
   调用就会失败。 如何避免：

   • 检查文件开头： 确保PHP文件的开头没有任何空格或BOM。使用一个好的IDE通常可以避免BOM问题。

   • 输出缓冲： 这是最可靠的解决方案。在脚本的最开始调用

     ob_start()

     登录后复制
     函数开启输出缓冲。这样，所有输出都会被缓存起来，直到脚本执行完毕或调用

     ob_end_flush()

     登录后复制
     。你就可以在脚本的任何地方安全地调用

     header()

     登录后复制
     了。

     <?php
     ob_start(); // 开启输出缓冲
     
     // ... 你的代码，可能包含一些输出 ...
     echo "一些内容";
     
     // 现在可以安全地设置头信息了
     header("Location: /dashboard.php");
     exit(); // 记得退出
     ?>

     登录后复制

   • 逻辑前置： 尽量将所有

     header()

     登录后复制
     调用放在脚本处理逻辑的最前端，确保它们在任何

     echo

     登录后复制
     、

     print

     登录后复制
     或HTML输出之前执行。

2. 不正确的HTTP状态码： 仅仅设置

   Location

   登录后复制
   头进行重定向是不够的，你还需要设置一个合适的HTTP状态码，比如

   301

   登录后复制
   (永久重定向) 或

   302

   登录后复制
   /

   303

   登录后复制
   /

   307

   登录后复制
   (临时重定向)。如果没有明确设置，默认通常是

   200 OK

   登录后复制
   ，这可能导致搜索引擎或其他客户端错误地理解你的重定向意图。

3. 多重

   Set-Cookie

   登录后复制
   头： 当你需要设置多个Cookie时，不要多次调用

   header("Set-Cookie: ...")

   登录后复制
   并期望它们都替换掉前一个。

   header()

   登录后复制
   函数的

   replace

   登录后复制
   参数默认为

   true

   登录后复制
   ，这意味着后续的

   Set-Cookie

   登录后复制
   调用会覆盖之前的。正确的方式是使用

   header("Set-Cookie: ...", false)

   登录后复制
   来追加，或者更推荐使用PHP内置的

   setcookie()

   登录后复制
   函数，它会智能地处理多个Cookie。

最佳实践：

• 尽早调用： 始终将

  header()

  登录后复制
  调用放在脚本的最顶端，在任何可能产生输出的代码之前。
• 使用

  ob_start()

  登录后复制
  ： 对于复杂的应用或框架，输出缓冲几乎是标配。它提供了一个强大的安全网，让你不用时刻担心“Headers already sent”的问题。
• 明确指定HTTP状态码： 特别是重定向和错误响应，务必使用正确的HTTP状态码，这对于SEO和API客户端的正确行为至关重要。
• 安全头不可或缺： 将

  X-Frame-Options

  登录后复制
  ,

  X-Content-Type-Options

  登录后复制
  ,

  Content-Security-Policy

  登录后复制
  等安全相关的HTTP头视为默认配置，集成到你的应用中。它们能有效提升应用的安全性。
• 内容类型匹配： 确保

  Content-Type

  登录后复制
  头与你实际发送的内容类型严格匹配。例如，发送JSON数据就用

  application/json

  登录后复制
  ，发送HTML就用

  text/html

  登录后复制
  。

• exit()

  登录后复制
  或

  die()

  登录后复制
  ： 在发送

  Location

  登录后复制
  头进行重定向后，务必调用

  exit()

  登录后复制
  或

  die()

  登录后复制
  来终止脚本执行。否则，服务器可能会继续处理并发送剩余内容，导致不必要的资源浪费，甚至安全问题。

如何利用

header()

登录后复制

实现文件下载和页面重定向？

文件下载和页面重定向是Web应用中最常用的两个功能，而

header()

实现文件下载

实现文件下载，你需要告诉浏览器：

微信 WeLM

WeLM不是一个直接的对话机器人，而是一个补全用户输入信息的生成模型。

33

查看详情

1. 这是一个文件，而不是一个页面。
2. 这个文件的类型是什么。
3. 这个文件应该以什么名字保存。
4. 这个文件有多大（可选，但推荐）。

以下是一个典型的文件下载PHP脚本示例：

<?php
// 假设要下载的文件路径和文件名
$filePath = 'path/to/your/document.pdf'; // 替换为你的实际文件路径
$fileName = 'MyReport_2023.pdf'; // 浏览器建议保存的文件名

if (!file_exists($filePath)) {
    header("HTTP/1.0 404 Not Found");
    echo "文件未找到。";
    exit();
}

// 1. 告诉浏览器这是一个文件传输
header("Content-Description: File Transfer");

// 2. 设置内容类型
// 对于未知类型或二进制文件，通常使用 application/octet-stream
// 对于已知类型，可以使用更具体的MIME类型，如 application/pdf, image/jpeg 等
header("Content-Type: application/octet-stream");

// 3. 告诉浏览器以附件形式下载，并指定文件名
header("Content-Disposition: attachment; filename=\"" . basename($fileName) . "\"");

// 4. 禁止缓存，确保每次都下载最新文件
header("Cache-Control: no-cache, no-store, must-revalidate");
header("Pragma: no-cache");
header("Expires: 0");

// 5. 设置文件大小，有助于浏览器显示下载进度
header("Content-Length: " . filesize($filePath));

// 6. 清除任何可能存在的输出缓冲，防止内容损坏
ob_clean();
flush();

// 7. 读取文件并输出到浏览器
readfile($filePath);
exit();
?>

关键点：

• Content-Disposition: attachment; filename="..."

  登录后复制
  : 这是告诉浏览器将内容作为附件下载，而不是在浏览器中打开。

  filename

  登录后复制
  参数指定了用户下载时看到的文件名。

• Content-Type: application/octet-stream

  登录后复制
  : 这是一个通用的二进制流类型。如果你知道确切的文件类型，使用更具体的MIME类型会更好，例如PDF文件用

  application/pdf

  登录后复制
  。

• Content-Length

  登录后复制
  : 提供文件大小，浏览器可以显示下载进度条。

• readfile()

  登录后复制
  : 这是将文件内容直接发送到输出流的最高效方法。

• ob_clean()

  登录后复制
  和

  flush()

  登录后复制
  : 确保在发送文件内容之前，清空并发送所有挂起的输出缓冲，避免文件内容被其他意外输出污染。

实现页面重定向

页面重定向是告诉浏览器去访问另一个URL。这在用户登录后跳转到仪表盘、处理表单提交后跳转到结果页，或者旧URL失效时跳转到新URL等场景中非常常见。

<?php
// 假设用户成功登录，需要重定向到仪表盘
$redirectUrl = "/dashboard.php";

// 1. 设置Location头，指定重定向目标URL
// 注意：URL必须是绝对路径或相对于当前域的根路径
header("Location: " . $redirectUrl);

// 2. 设置HTTP状态码
// 301 Moved Permanently: 永久重定向，搜索引擎会更新索引
// 302 Found (或 303 See Other, 307 Temporary Redirect): 临时重定向
// 对于大多数临时跳转，302或303是合适的。
header("HTTP/1.1 302 Found"); // 或者 header("Location: " . $redirectUrl, true, 302);

// 3. 极其重要：终止脚本执行
// 否则，服务器会继续处理并发送当前页面的剩余内容，可能导致意外行为或安全问题。
exit();
?>

关键点：

• Location: /new-page.php

  登录后复制
  : 这是重定向的核心，告诉浏览器新的URL。

• HTTP/1.1 302 Found

  登录后复制
  (或

  301 Moved Permanently

  登录后复制
  等): 必须明确指定重定向的状态码。

  • 301

    登录后复制
    ：表示资源已永久移动。搜索引擎会将其视为永久性更改，并更新其索引。

  • 302

    登录后复制
    ：表示资源暂时移动。搜索引擎不会更新其索引，认为这只是一个临时状态。

  • 303 See Other

    登录后复制
    ：通常用于POST请求后，指示客户端使用GET请求获取新资源，以防止表单重复提交。

  • 307 Temporary Redirect

    登录后复制
    ：与302类似，但更严格地要求客户端在重定向后使用相同的HTTP方法。

• exit()

  登录后复制
  : 在发送

  Location

  登录后复制
  头之后，立即终止脚本执行是至关重要的。这能确保浏览器在接收到重定向指令后，不会再接收到任何多余的页面内容。

深入理解缓存相关的HTTP头，优化Web性能

缓存是提升Web应用性能的“魔法”，它能显著减少服务器负载，加快页面加载速度，改善用户体验。而HTTP头，正是控制浏览器和中间缓存服务器如何进行缓存的核心机制。

缓存策略通常分为两种：强缓存和协商缓存。

强缓存 (Strong Caching)

强缓存策略下，浏览器在一定时间内不会向服务器发送请求，直接使用本地缓存的资源。这通过以下HTTP头实现：

1. Cache-Control

   登录后复制
   ： 这是现代Web开发中最常用且功能最强大的缓存头。它定义了缓存的各种指令。

   • public

     登录后复制
     ：响应可以被任何缓存（包括共享缓存，如CDN）缓存。

   • private

     登录后复制
     ：响应只能被用户代理（浏览器）缓存，不能被共享缓存缓存。通常用于用户特定内容。

   • no-cache

     登录后复制
     ：不是不缓存，而是每次使用缓存前，必须先向服务器验证资源是否过期（协商缓存）。

   • no-store

     登录后复制
     ：彻底禁止缓存，每次都从服务器获取完整响应。用于敏感数据。

   • max-age=<seconds>

     登录后复制
     ：指定资源在多少秒内有效。在此时间内，浏览器直接使用缓存。

   • s-maxage=<seconds>

     登录后复制
     ：与

     max-age

     登录后复制
     类似，但只对共享缓存（如CDN）有效。

   • must-revalidate

     登录后复制
     ：缓存过期后，必须向源服务器验证，不能使用过期缓存。

   • proxy-revalidate

     登录后复制
     ：与

     must-revalidate

     登录后复制
     类似，但只对共享缓存有效。

   示例：

   立即学习“PHP免费学习笔记（深入）”；

   // 资源在600秒内有效，可以被公共缓存
   header("Cache-Control: max-age=600, public");
   
   // 不缓存敏感数据
   header("Cache-Control: no-store");

   登录后复制

2. Expires

   登录后复制
   ： 这是一个HTTP/1.0的缓存头，指定了资源过期的具体日期和时间（GMT格式）。它已经被

   Cache-Control: max-age

   登录后复制
   取代，因为

   max-age

   登录后复制
   更灵活（相对时间）。然而，为了兼容一些老旧的客户端，有时还会看到它的身影。

   示例：

   立即学习“PHP免费学习笔记（深入）”；

   // 资源在未来一小时后过期
   header("Expires: " . gmdate("D, d M Y H:i:s T", time() + 3600));

   登录后复制

协商缓存 (Negotiated Caching)

当强缓存失效（例如

max-age

no-cache

304 Not Modified

1. ETag

   登录后复制
   (实体标签)： 服务器为资源的特定版本生成的一个唯一标识符（通常是内容的哈希值）。当浏览器再次请求资源时，会通过

   If-None-Match

   登录后复制
   请求头把上次收到的

   ETag

   登录后复制
   发送给服务器。如果服务器上的资源

   ETag

   登录后复制
   与浏览器发送的一致，则返回

   304

   登录后复制
   。

   示例（服务器端）：

   $content = file_get_contents('path/to/resource.js');
   $etag = md5($content); // 简单示例，实际应用中可能更复杂
   
   header("ETag: \"{$etag}\"");
   header("Cache-Control: no-cache"); // 配合ETag，每次都协商
   
   if (isset($_SERVER['HTTP_IF_NONE_MATCH']) && trim($_SERVER['HTTP_IF_NONE_MATCH']) == "\"{$etag}\"") {
       header("HTTP/1.1 304 Not Modified");
       exit();
   }
   echo $content;

   登录后复制

2. Last-Modified

   登录后复制
   ： 服务器发送资源时，指示资源的最后修改时间。当浏览器再次请求时，会通过

   If-Modified-Since

   登录后复制
   请求头把这个时间发送给服务器。如果服务器上的资源修改时间晚于浏览器发送的时间，则返回新资源；否则返回

   304

   登录后复制
   。

   示例（服务器端）：

   $lastModifiedTime = filemtime('path/to/resource.css'); // 获取文件最后修改时间
   $lastModifiedGmt = gmdate("D, d M Y H:i:s T", $lastModifiedTime);
   
   header("Last-Modified: " . $lastModifiedGmt);
   header("Cache-Control: no-cache"); // 配合Last-Modified，每次都协商
   
   if (isset($_SERVER['HTTP_IF_MODIFIED_SINCE']) && strtotime($_SERVER['HTTP_IF_MODIFIED_SINCE']) == $lastModifiedTime) {
       header("HTTP/1.1 304 Not Modified");
       exit();
   }
   echo file_get_contents('path/to/resource.css');

   登录后复制

总结与实践建议：

• 结合使用： 强缓存和协商缓存通常结合使用。

  Cache-Control: max-age

  登录后复制
  控制强缓存时间，当它过期后，

  ETag

  登录后复制
  或

  Last-Modified

  登录后复制
  进行协商缓存。
• 静态资源： 对于不经常变动的静态资源（图片、CSS、JS），可以设置较长的

  max-age

  登录后复制
  ，并配合

  ETag

  登录后复制
  或

  Last-Modified

  登录后复制
  。
• 动态内容： 对于经常变动的动态内容，可以设置

  no-cache

  登录后复制
  ，强制每次都进行协商缓存，确保用户总能看到最新内容，但又能利用304减少带宽。
• 版本号： 对于静态资源，通过在文件名中加入版本号（如

  style.v123.css

  登录后复制
  ）可以实现“永不过期”的缓存策略，因为文件内容改变时文件名也变了，浏览器会视为新资源。
• CDN： 如果使用CDN，理解

  s-maxage

  登录后复制
  和

  public

  登录后复制
  指令对CDN缓存行为的影响至关重要。

在我看来，缓存策略的配置，就像是给你的Web应用做“交通管制”。做得好，资源流转顺畅，用户体验极佳；做得不好，要么用户总在等待，要么看到过时信息。这需要细致的分析和测试，才能找到最佳平衡点。

以上就是PHP如何设置HTTP头信息_PHP使用header函数设置HTTP头信息详解的详细内容，更多请关注php中文网其它相关文章！