header

发送一个原始 HTTP 标头 (PHP 3, PHP 4, PHP 5)
void header ( string string [, bool replace [, int http_response_code]] )

说明

header() 函数用来发送一个原始 HTTP 标头。有关 HTTP 标头的更多内容见 » HTTP/1.1 规范

注意:

自 PHP 4.4.2 和 PHP 5.1.2 起为防止标头注入攻击,本函数会阻止同时发送超过一个标头。

可选参数 replace 指明是替换掉前一条类似的标头还是增加一条相同类型的标头。默认为替换,但如果将其设为 FALSE 则可以强制发送多个同类标头。例如:

<?php
header
('WWW-Authenticate: Negotiate');
header('WWW-Authenticate: NTLM', false);
?>

第二个可选参数 http_response_code 强制将 HTTP 响应代码设为指定值(此参数是 PHP 4.3.0 新加的)。

有两种特殊的 header 调用。第一种是标头以字符串“HTTP/”(大小写不重要)开头的,可以用来确定要发送的 HTTP 状态码。例如,如果配置了 Apache 用 PHP 来处理找不到文件的错误处理请求(使用 ErrorDocument 指令),需要确保脚本产生了正确的状态码。

<?php
header
("HTTP/1.0 404 Not Found")
?>
注意:

HTTP 状态码标头行总是第一个被发送到客户端,而并不管实际的 header() 调用是否是第一个。除非 HTTP 标头已经发送出去,任何时候都可以通过用新的状态行调用 header() 函数来覆盖原先的。

第二种特殊情况是以“Location:”标头。它不只是把这个标头发送回浏览器,它还将一个 REDIRECT(302)状态码返回给浏览器,除非之前已经发出了某个 3xx 状态码。

<?php
header
("Location: http://www.example.com/"); /* &#37325;&#23450;&#21521;&#27983;&#35272;&#22120; */

/* &#30830;&#20445;&#37325;&#23450;&#21521;&#21518;&#65292;&#21518;&#32493;&#20195;&#30721;&#19981;&#20250;&#34987;&#25191;&#34892; */
exit;
?>
注意:

HTTP/1.1 标准需要一个绝对地址的 URI 做为 » Location: 的参数, 但有一些客户端支持相对 URI。通常可以使用 $_SERVER['HTTP_HOST']$_SERVER['PHP_SELF']dirname() 函数来自己从相对 URI 产生出绝对 URI:

<?php
/* 重定向到当前请求目录中的另一个页面 */
$host  = $_SERVER['HTTP_HOST'];
$uri   = rtrim(dirname($_SERVER['PHP_SELF']), '/\\');
$extra = 'mypage.php';
header("Location: http://$host$uri/$extra");
exit;
?>
注意:

即使启用了 session.use_trans_sid,Session ID 也不会随着 Location 头信息被传递。必须手工用 SID 常量来传递。

PHP 脚本通常会产生一些动态内容,这些内容必须不被浏览器或代理服务器缓存。很多代理服务器和浏览器都可以被下面的方法禁止缓存:

<?php
header
("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); // &#36807;&#21435;&#30340;&#26102;&#38388;
?>
注意:

可能会发现即使不输出上面所有的代码,网页也没有被缓冲。用户有很多选项可以设置来改变浏览器的默认缓存行为。通过发送上述标头,应该可以覆盖任何可以导致脚本页面被缓存的设置。

另外,当使用了 session 时,利用 session_cache_limiter() 函数和 session.cache_limiter 选项可以用来自动产生正确的缓存相关标头。

要记住 header() 必须在任何实际输出之前调用,不论是来自普通的 HTML 标记,空行或者 PHP。有一个常见错误就是在通过 include()require() 或一些其它的文件存取类函数读取代码时,有一些空格或者空行在调用 header() 之前被发送了出去。同样在一个单独的 PHP/HTML 文件中这个错误也很普遍。

<html>
<?php
/* &#36825;&#23558;&#20135;&#29983;&#19968;&#20010;&#38169;&#35823;&#65292;&#22240;&#20026;&#22312;&#35843; header()
* &#20043;&#21069;&#24050;&#32463;&#36755;&#20986;&#20102;&#19996;&#35199; */
header('Location: http://www.example.com/');
?>
注意:

自 PHP 4 起,可以通过一些输出缓冲函数来解决这个问题。代价是把所有向浏览器的输出都缓存在服务器,直到下命令发送它们。可以在代码中使用 ob_start()ob_end_flush() 来实现这样的功能,或者通过修改 php.ini 中的 output_buffering 配置选项来实现,也可以通过修改服务器配置文件来实现。

如果想提示用户保存所发送的数据,例如一个生成的 PDF 文件,可以通过发送 » Content-Disposition 标头提供推荐的文件名来强制浏览器弹出一个保存文件对话框。

<?php
// &#36825;&#26679;&#23558;&#20250;&#30452;&#25509;&#36755;&#20986;&#19968;&#20010; PDF &#25991;&#20214;
header('Content-type: application/pdf');

// &#36825;&#26679;&#20570;&#23601;&#20250;&#25552;&#31034;&#19979;&#36733; PDF &#25991;&#20214; downloaded.pdf
header('Content-Disposition: attachment; filename="downloaded.pdf"');

// &#36825;&#26159; original.pdf &#30340;&#28304;&#25991;&#20214;
readfile('original.pdf');
?>
注意:

Microsoft Internet Explorer 4.01 中的一个漏洞使得该机制无法正常工作,无解决方案。在 Microsoft Internet Explorer 5.5 中也有个漏洞影响到这一点,升级到 Service Pack 2 或更高版本可以解决。

注意:

安全模式下,如果设定了 WWW-Authenticate 标头(用于 HTTP 认证)则脚本的 UID 会添加到其中的 realm 部分中去。

参见 headers_sent()setcookie()HTTP 认证一章。