HTTP Content-MD5标头的注意事项

我们正在讨论是否使用Content-MD5标头。

优点：

• CMS使我们能够以最少的开销轻松地将其包括在内（在80％以上的案例中缓存了响应）。
• 它将增加另一层防止问题的保护。

缺点：

• Content-Length标头始终存在（即使在动态创建的页面上也是如此），因此客户端不需要其他形式的验证。
• 到目前为止，我们尚未意识到由腐败引起的任何问题。
• MD5检查会增加网页加载时间的延迟。

要点：

• 某些媒体类型是否包含自己的摘要形式，从而使此操作不必要？
• 如果TCP已经提供了此功能，为什么将其包含在HTTP标准中？
• 现有的现实生活用途是什么？
• MD5检查是否可以忽略不计？

将其添加到单元测试并实施约一个小时的工作并不是真正的问题。但是，如果有害，那么我们希望将其添加到网站“健康检查”中使用的更高级别的嗅探测试中。

TCP已经具有错误纠正功能，但这只能在TCP层上为您提供帮助。中介HTTP代理或负载平衡器可能会破坏HTTP层上的数据，然后重新传输。HTTP MD5使得可以检测到此损坏。没人真正谈论这种需求的原因是，这个问题确实非常罕见。大多数HTTP代理等“正常工作”。

RFC暗示了安全性。恕我直言，这是如此微弱，应该忽略-如果您需要任何形式的真实安全性和机密性，则需要HTTPS。

某些媒体类型是否包含自己的摘要形式，从而使此操作不必要？

没有什么真正的好。但是照片，流媒体视频等中的一些错误通常是人类无法察觉的。

我会说这取决于用例：

• 对于基于REST的Web服务，摘要添加了有用的附加错误纠正层。请参阅此AWS故障作为示例。
• 对于通过纯HTTP处理关键任务数据的应用程序，值得实施。Content-MD5为客户端提供了验证端到端传输完整性的选项。
• 对于提供正常值文本和媒体的“正常”网站，Content-MD5标头没有任何作用。老实说，我什至不知道实际上有多少主流浏览器（PC，尤其是移动浏览器）支持它。

MD5检查会增加网页加载时间的延迟。

如果为真（并且延迟不完全是微不足道的），那么我说这是不值得的。

通常，我相信最后修改的标头最常用于确定页面是否已更改。假设你提供有意义的价值在那里，我认为没有必要为内容-MD5标头。