安全警告#

实现 Streamable HTTP 时，必须注意以下安全措施：

1. 验证所有连接请求的 Origin 头，以防 DNS rebinding 攻击；
2. 在本地运行时，应仅绑定到 localhost（127.0.0.1），避免对外网接口（0.0.0.0）开放；
3. 应对所有连接实施适当的认证机制。

没有这些防护，攻击者可能借助 DNS rebinding 从远程网页访问本地 MCP 服务器。

发送消息（Client → Server）#

1. 客户端必须使用 HTTP POST 将每个 JSON-RPC 消息发送到 MCP 端点；
2. 请求头 Accept 中应同时列出 application/json 和 text/event-stream；
3. POST 请求体可以是：
   • 单个 JSON-RPC 请求/通知/响应
   • 包含多条请求和/或通知的 JSON 数组（批量）
   • 包含多条响应的 JSON 数组（批量）
4. 如果 POST 内容仅包含响应或通知：
   • 若服务器接受，应返回 HTTP 202 Accepted，无响应体；
   • 若无法接受，应返回 HTTP 错误码（如 400 Bad Request），响应体可包含无 id 的 JSON-RPC 错误响应。
5. 若 POST 内容包含请求：
   • 服务器必须返回 Content-Type: text/event-stream（开启 SSE 流）或 Content-Type: application/json（返回单个 JSON 对象）；客户端需同时支持两种情况；
   • 若使用 SSE，服务器应最终为每个请求发送一条响应（可批量），期间可在响应前发送与该请求相关的服务器发起的请求/通知；发送完毕后，应关闭 SSE 流（除会话过期外）；
   • 断线时，不应视为请求取消；取消应由客户端显式发送 CancelledNotification；为防止丢包，服务器可实现可恢复（resumable）SSE。

监听消息（Server → Client）#

1. 客户端可使用 HTTP GET 打开 SSE 流，以便在未先发送 POST 的情况下接收服务器消息；
2. GET 请求头 Accept 中应包含 text/event-stream；
3. 服务器要么返回 Content-Type: text/event-stream 并开启 SSE，要么返回 405 Method Not Allowed；
4. 在 SSE 流中，服务器可发送批量或单条 JSON-RPC 请求/通知，但不得在流中发送响应（除恢复关联请求的流外）；客户端也可随时关闭流。

多连接#

• 客户端可同时保持多个 SSE 连接；
• 服务器每条 JSON-RPC 消息只能发送到其中一个连接，不得跨连接广播同一消息；
• 可结合可恢复性机制降低丢包风险。 

可恢复性与重发#

• 服务器可为 SSE 事件附加全局唯一的 id，作为该流的游标；
• 客户端在断线后可通过 HTTP GET 并加上 Last-Event-ID 头请求重连，服务器可在该 id 之后继续重放该流的消息，但不得重放属于其他流的消息。

会话管理#

• MCP “会话” 从初始化阶段开始，可选地分配 Mcp-Session-Id，放在初始化响应的头中；
• 客户端在后续所有请求中必须带上该 Mcp-Session-Id 头；缺失该头的请求，服务器可返回 400 Bad Request；
• 服务器随时可通过让包含该会话 ID 的请求返回 404 Not Found 来终止会话；客户端收到 404 后应重新发送初始化请求，开始新会话；
• 客户端也可通过 HTTP DELETE 并附带 Mcp-Session-Id 头主动终止会话，服务器可返回 405 表示不支持此操作。

⸻