HTTP和HTTPS
HTTP協(xié)議(HyperText Transfer Protocol翠订,超文本傳輸協(xié)議):是一種發(fā)布和接收 HTML頁面的方法。
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)簡單講是HTTP的安全版召调,在HTTP下加入SSL層始腾。
SSL(Secure Sockets Layer 安全套接層)主要用于Web的安全傳輸協(xié)議梭冠,在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密,保障在Internet上數(shù)據(jù)傳輸?shù)陌踩?- HTTP的端口號(hào)為80矿酵,
- HTTPS的端口號(hào)為443
- HTTPS比HTTP更安全唬复,但性能更低
HTTP的請(qǐng)求與響應(yīng)
HTTP通信由兩部分組成:
客戶端請(qǐng)求消息與服務(wù)器響應(yīng)消息
瀏覽器發(fā)送HTTP請(qǐng)求的過程:
當(dāng)用戶在瀏覽器的地址欄中輸入一個(gè)URL并按回車鍵之后,
瀏覽器會(huì)向HTTP服務(wù)器發(fā)送HTTP請(qǐng)求全肮。
HTTP請(qǐng)求主要分為Get和Post兩種方法敞咧。
當(dāng)我們?cè)跒g覽器輸入U(xiǎn)RLhttp://www.baidu.com的時(shí)候
瀏覽器發(fā)送一個(gè)Request請(qǐng)求去獲取 http://www.baidu.com 的html文件,
服務(wù)器把Response文件對(duì)象發(fā)送回給瀏覽器辜腺。
瀏覽器分析Response中的 HTML休建,發(fā)現(xiàn)其中引用了很多其他文件,
比如Images文件评疗,CSS文件测砂,JS文件。
瀏覽器會(huì)自動(dòng)再次發(fā)送Request去獲取圖片百匆,CSS文件砌些,或者JS文件。
當(dāng)所有的文件都下載成功后加匈,網(wǎng)頁會(huì)根據(jù)HTML語法結(jié)構(gòu)存璃,完整的顯示出來了。
URL
統(tǒng)一資源定位符雕拼,是用于完整地描述Internet上網(wǎng)頁和其他資源的地址的一種標(biāo)識(shí)方法有巧。
基本格式:scheme://host[:port#]/path/…/[?query-string][#anchor]
- scheme:協(xié)議(例如:http, https, ftp)
- host:服務(wù)器的IP地址或者域名
- port#:服務(wù)器的端口(如果是走協(xié)議默認(rèn)端口,缺省端口80)
- path:訪問資源的路徑
- query-string:參數(shù)悲没,發(fā)送給http服務(wù)器的數(shù)據(jù)
- anchor:錨(跳轉(zhuǎn)到網(wǎng)頁的指定錨點(diǎn)位置)
客戶端HTTP請(qǐng)求
URL只是標(biāo)識(shí)資源的位置,而HTTP是用來提交和獲取資源男图。
客戶端發(fā)送一個(gè)HTTP請(qǐng)求到服務(wù)器的請(qǐng)求消息示姿,包括以下格式:
請(qǐng)求行、請(qǐng)求頭部逊笆、空行栈戳、請(qǐng)求數(shù)據(jù)四個(gè)部分組成
請(qǐng)求方法
- GET 請(qǐng)求指定的頁面信息,并返回實(shí)體主體难裆。
- HEAD 類似于get請(qǐng)求子檀,只不過返回的響應(yīng)中沒有具體的內(nèi)容镊掖,用于獲取報(bào)頭
- POST 向指定資源提交數(shù)據(jù)進(jìn)行處理請(qǐng)求(例如提交表單或者上傳文件),數(shù)據(jù)被包含在請(qǐng)求體中褂痰。POST請(qǐng)求可能會(huì)導(dǎo)致新的資源的建立和/或已有資源的修改亩进。
- PUT 從客戶端向服務(wù)器傳送的數(shù)據(jù)取代指定的文檔的內(nèi)容。
- DELETE 請(qǐng)求服務(wù)器刪除指定的頁面缩歪。
- CONNECT HTTP/1.1協(xié)議中預(yù)留給能夠?qū)⑦B接改為管道方式的代理服務(wù)器归薛。
- OPTIONS 允許客戶端查看服務(wù)器的性能。
- TRACE 回顯服務(wù)器收到的請(qǐng)求匪蝙,主要用于測試或診斷主籍。
HTTP請(qǐng)求主要分為GET和POST兩種方法
- GET是從服務(wù)器上獲取數(shù)據(jù),POST是向服務(wù)器傳送數(shù)據(jù)
- GET請(qǐng)求參數(shù)顯示逛球,都顯示在瀏覽器網(wǎng)址上千元,HTTP服務(wù)器根據(jù)該請(qǐng)求所包含URL中的參數(shù)來產(chǎn)生響應(yīng)內(nèi)容,即“Get”請(qǐng)求的參數(shù)是URL的一部分颤绕。 例如: http://www.baidu.com/s?wd=Chinese
- POST請(qǐng)求參數(shù)在請(qǐng)求體當(dāng)中幸海,消息長度沒有限制而且以隱式的方式進(jìn)行發(fā)送,通常用來向HTTP服務(wù)器提交量比較大的數(shù)據(jù)(比如請(qǐng)求中包含許多參數(shù)或者文件上傳操作等)屋厘,請(qǐng)求的參數(shù)包含在“Content-Type”消息頭里涕烧,指明該消息體的媒體類型和編碼,
- 注意:避免使用Get方式提交表單汗洒,因?yàn)橛锌赡軙?huì)導(dǎo)致安全問題议纯。 比如說在登陸表單中用Get方式,用戶輸入的用戶名和密碼將在地址欄中暴露無遺溢谤。
常用的請(qǐng)求報(bào)頭
1.
Host(主機(jī)和端口號(hào))
Host:對(duì)應(yīng)網(wǎng)址URL中的Web名稱和端口號(hào)瞻凤,用于指定被請(qǐng)求資源的Internet主機(jī)和端口號(hào),通常屬于URL的一部分世杀。2.
Connection(鏈接類型)
Connection:表示客戶端與服務(wù)連接類型
Client 發(fā)起一個(gè)包含Connection:keep-alive的請(qǐng)求阀参,HTTP/1.1使用 keep-alive 為默認(rèn)值。
Server收到請(qǐng)求后:
如果 Server 支持keep-alive瞻坝,回復(fù)一個(gè)包含Connection:keep-alive的響應(yīng)蛛壳,不關(guān)閉連接;
如果 Server 不支持keep-alive所刀,回復(fù)一個(gè)包含Connection:close的響應(yīng)衙荐,關(guān)閉連接。
如果client收到包含Connection:keep-alive的響應(yīng)浮创,向同一個(gè)連接發(fā)送下一個(gè)請(qǐng)求忧吟,直到一方主動(dòng)關(guān)閉連接。
keep-alive在很多情況下能夠重用連接斩披,減少資源消耗溜族,縮短響應(yīng)時(shí)間讹俊,比如當(dāng)瀏覽器需要多個(gè)文件時(shí)(比如一個(gè)HTML文件和相關(guān)的圖形文件),不需要每次都去請(qǐng)求建立連接煌抒。3.
Upgrade-Insecure-Requests(升級(jí)為HTTPS請(qǐng)求)
Upgrade-Insecure-Requests:升級(jí)不安全的請(qǐng)求仍劈,意思是會(huì)在加載 http 資源時(shí)自動(dòng)替換成 https 請(qǐng)求,讓瀏覽器不再顯示https頁面中的http請(qǐng)求警報(bào)摧玫。
HTTPS 是以安全為目標(biāo)的 HTTP 通道耳奕,所以在 HTTPS 承載的頁面上不允許出現(xiàn) HTTP 請(qǐng)求,一旦出現(xiàn)就是提示或報(bào)錯(cuò)诬像。4.
User-Agent(瀏覽器名稱)
User-Agent:是客戶瀏覽器的名稱5.
Accept(傳輸文件類型)
Accept:指瀏覽器或其他客戶端可以接受的MIME(Multipurpose Internet Mail Extensions(多用途互聯(lián)網(wǎng)郵件擴(kuò)展))文件類型屋群,服務(wù)器可以根據(jù)它判斷并返回適當(dāng)?shù)奈募袷健?br> 舉例:
Accept: */*:表示什么都可以接收。Accept:image/gif:表明客戶端希望接受GIF圖像格式的資源坏挠;Accept:text/html:表明客戶端希望接受html文本芍躏。Accept: text/html, application/xhtml+xml;q=0.9, image/*;q=0.8:表示瀏覽器支持的 MIME 類型分別是 html文本、xhtml和xml文檔降狠、所有的圖像格式資源对竣。
q是權(quán)重系數(shù),范圍 0 =< q <= 1榜配,q 值越大否纬,請(qǐng)求越傾向于獲得其“;”之前的類型表示的內(nèi)容。若沒有指定q值蛋褥,則默認(rèn)為1临燃,按從左到右排序順序;若被賦值為0烙心,則用于表示瀏覽器不接受此內(nèi)容類型膜廊。
Text:用于標(biāo)準(zhǔn)化地表示的文本信息,文本消息可以是多種字符集和或者多種格式的淫茵;Application:用于傳輸應(yīng)用程序數(shù)據(jù)或者二進(jìn)制數(shù)據(jù)爪瓜。詳細(xì)請(qǐng)點(diǎn)擊6.
Referer(頁面跳轉(zhuǎn)處)
Referer:表明產(chǎn)生請(qǐng)求的網(wǎng)頁來自于哪個(gè)URL,用戶是從該Referer頁面訪問到當(dāng)前請(qǐng)求的頁面匙瘪。這個(gè)屬性可以用來跟蹤Web請(qǐng)求來自哪個(gè)頁面铆铆,是從什么網(wǎng)站來的等。
有時(shí)候遇到下載某網(wǎng)站圖片丹喻,需要對(duì)應(yīng)的referer薄货,否則無法下載圖片,那是因?yàn)槿思易隽朔辣I鏈驻啤,原理就是根據(jù)referer去判斷是否是本網(wǎng)站的地址,如果不是荐吵,則拒絕骑冗,如果是赊瞬,就可以下載;7.
Accept-Encoding(文件編解碼格式)
Accept-Encoding:指出瀏覽器可以接受的編碼方式贼涩。編碼方式不同于文件格式巧涧,它是為了壓縮文件并加速文件傳遞速度。瀏覽器在接收到Web響應(yīng)之后先解碼遥倦,然后再檢查文件格式谤绳,許多情形下這可以減少大量的下載時(shí)間。
舉例:Accept-Encoding:gzip;q=1.0, identity; q=0.5, *;q=0
如果有多個(gè)Encoding同時(shí)匹配, 按照q值順序排列袒哥,本例中按順序支持gzip,identity壓縮編碼缩筛,支持gzip的瀏覽器會(huì)返回經(jīng)過gzip編碼的HTML頁面。 如果請(qǐng)求消息中沒有設(shè)置這個(gè)域服務(wù)器假定客戶端對(duì)各種內(nèi)容編碼都可以接受堡称。8.
Accept-Language(語言種類)
Accept-Langeuage:指出瀏覽器可以接受的語言種類瞎抛,如en或en-us指英語,zh或者zh-cn指中文却紧,當(dāng)服務(wù)器能夠提供一種以上的語言版本時(shí)要用到桐臊。9.
Accept-Charset(字符編碼)
Accept-Charset:指出瀏覽器可以接受的字符編碼。
舉例:Accept-Charset:iso-8859-1,gb2312,utf-8
ISO8859-1:通常叫做Latin-1晓殊。Latin-1包括了書寫所有西方歐洲語言不可缺少的附加字符断凶,英文瀏覽器的默認(rèn)值是ISO-8859-1.
gb2312:標(biāo)準(zhǔn)簡體中文字符集;
utf-8:UNICODE的一種變長字符編碼,可以解決多種語言文本顯示問題巫俺,從而實(shí)現(xiàn)應(yīng)用國際化和本地化认烁。
如果在請(qǐng)求消息中沒有設(shè)置這個(gè)域,缺省是任何字符集都可以接受识藤。10.
Cookie(Cookie)
Cookie:瀏覽器用這個(gè)屬性向服務(wù)器發(fā)送Cookie砚著。Cookie是在瀏覽器中寄存的小型數(shù)據(jù)體,它可以記載和服務(wù)器相關(guān)的用戶信息痴昧,也可以用來實(shí)現(xiàn)會(huì)話功能稽穆,以后會(huì)詳細(xì)講。11.
Content-Type(POST數(shù)據(jù)類型)
Content-Type:POST請(qǐng)求里用來表示的內(nèi)容類型赶撰。
舉例:Content-Type = Text/XML; charset=gb2312:
指明該請(qǐng)求的消息體中包含的是純文本的XML類型的數(shù)據(jù)舌镶,字符編碼采用gb2312。
服務(wù)端HTTP響應(yīng)
HTTP響應(yīng)也由四個(gè)部分組成豪娜,分別是:
狀態(tài)行餐胀、消息報(bào)頭、空行瘤载、響應(yīng)正文
常用的響應(yīng)報(bào)頭
理論上所有的響應(yīng)頭信息都應(yīng)該是回應(yīng)請(qǐng)求頭的否灾。
但是服務(wù)端為了效率,安全鸣奔,還有其他方面的考慮墨技,會(huì)添加相對(duì)應(yīng)的響應(yīng)頭信息
Cache-Control:must-revalidate, no-cache, private
這個(gè)值告訴客戶端惩阶,服務(wù)端不希望客戶端緩存資源,在下次請(qǐng)求資源時(shí)扣汪,必須要從新請(qǐng)求服務(wù)器断楷,不能從緩存副本中獲取資源。
Cache-Control是響應(yīng)頭中很重要的信息崭别,當(dāng)客戶端請(qǐng)求頭中包含Cache-Control:max-age=0請(qǐng)求冬筒,明確表示不會(huì)緩存服務(wù)器資源時(shí)
Cache-Control作為作為回應(yīng)信息,通常會(huì)返回no-cache茅主,意思就是說舞痰,"那就不緩存唄"。
當(dāng)客戶端在請(qǐng)求頭中沒有包含Cache-Control時(shí)暗膜,服務(wù)端往往會(huì)定,不同的資源不同的緩存策略匀奏,比如說oschina在緩存圖片資源的策略就是Cache-Control:max-age=86400,這個(gè)意思是,從當(dāng)前時(shí)間開始学搜,在86400秒的時(shí)間內(nèi)娃善,客戶端可以直接從緩存副本中讀取資源,而不需要向服務(wù)器請(qǐng)求瑞佩。Connection:keep-alive
這個(gè)字段作為回應(yīng)客戶端的Connection:keep-alive聚磺,告訴客戶端服務(wù)器的tcp連接也是一個(gè)長連接,客戶端可以繼續(xù)使用這個(gè)tcp連接發(fā)送http請(qǐng)求炬丸。Content-Encoding:gzip
告訴客戶端瘫寝,服務(wù)端發(fā)送的資源是采用gzip編碼的,客戶端看到這個(gè)信息后稠炬,應(yīng)該采用gzip對(duì)資源進(jìn)行解碼焕阿。Content-Type:text/html;charset=UTF-8
告訴客戶端,資源文件的類型首启,還有字符編碼暮屡,客戶端通過utf-8對(duì)資源進(jìn)行解碼,然后對(duì)資源進(jìn)行html解析毅桃。通常我們會(huì)看到有些網(wǎng)站是亂碼的褒纲,往往就是服務(wù)器端沒有返回正確的編碼。Date:Sun, 21 Sep 2016 06:18:21 GMT
這個(gè)是服務(wù)端發(fā)送資源時(shí)的服務(wù)器時(shí)間钥飞,GMT是格林尼治所在地的標(biāo)準(zhǔn)時(shí)間莺掠。http協(xié)議中發(fā)送的時(shí)間都是GMT的,這主要是解決在互聯(lián)網(wǎng)上读宙,不同時(shí)區(qū)在相互請(qǐng)求資源的時(shí)候彻秆,時(shí)間混亂問題。Expires:Sun, 1 Jan 2000 01:00:00 GMT
這個(gè)響應(yīng)頭也是跟緩存有關(guān)的,告訴客戶端在這個(gè)時(shí)間前唇兑,可以直接訪問緩存副本墓律,很顯然這個(gè)值會(huì)存在問題,因?yàn)榭蛻舳撕头?wù)器的時(shí)間不一定會(huì)都是相同的幔亥,如果時(shí)間不同就會(huì)導(dǎo)致問題。所以這個(gè)響應(yīng)頭是沒有Cache-Control:max-age=*這個(gè)響應(yīng)頭準(zhǔn)確的察纯,因?yàn)閙ax-age=date中的date是個(gè)相對(duì)時(shí)間帕棉,不僅更好理解,也更準(zhǔn)確饼记。Pragma:no-cache
這個(gè)含義與Cache-Control等同香伴。Server:Tengine/1.4.6
這個(gè)是服務(wù)器和相對(duì)應(yīng)的版本,只是告訴客戶端服務(wù)器的信息具则。Transfer-Encoding:chunked
這個(gè)響應(yīng)頭告訴客戶端即纲,服務(wù)器發(fā)送的資源的方式是分塊發(fā)送的。一般分塊發(fā)送的資源都是服務(wù)器動(dòng)態(tài)生成的博肋,在發(fā)送時(shí)還不知道發(fā)送資源的大小低斋,所以采用分塊發(fā)送,每一塊都是獨(dú)立的匪凡,獨(dú)立的塊都能標(biāo)示自己的長度膊畴,最后一塊是0長度的,當(dāng)客戶端讀到這個(gè)0長度的塊時(shí)病游,就可以確定資源已經(jīng)傳輸完了唇跨。Vary: Accept-Encoding
告訴緩存服務(wù)器,緩存壓縮文件和非壓縮文件兩個(gè)版本衬衬,現(xiàn)在這個(gè)字段用處并不大买猖,因?yàn)楝F(xiàn)在的瀏覽器都是支持壓縮的。
Cookie 和 Session:
服務(wù)器和客戶端的交互僅限于請(qǐng)求/響應(yīng)過程滋尉,結(jié)束之后便斷開玉控,在下一次請(qǐng)求時(shí),服務(wù)器會(huì)認(rèn)為新的客戶端兼砖。
為了維護(hù)他們之間的鏈接奸远,讓服務(wù)器知道這是前一個(gè)用戶發(fā)送的請(qǐng)求,必須在一個(gè)地方保存客戶端的信息讽挟。
- Cookie:通過在 客戶端 記錄的信息確定用戶的身份懒叛。
- Session:通過在 服務(wù)器端 記錄的信息確定用戶的身份。
響應(yīng)狀態(tài)碼
響應(yīng)狀態(tài)代碼有三位數(shù)字組成耽梅,第一個(gè)數(shù)字定義了響應(yīng)的類別薛窥,且有五種可能取值。
常見狀態(tài)碼:
- 100~199:表示服務(wù)器成功接收部分請(qǐng)求,要求客戶端繼續(xù)提交其余請(qǐng)求才能完成整個(gè)處理過程诅迷。
- 200~299:表示服務(wù)器成功接收請(qǐng)求并已完成整個(gè)處理過程佩番。常用200(OK 請(qǐng)求成功)。
- 300~399:為完成請(qǐng)求罢杉,客戶需進(jìn)一步細(xì)化請(qǐng)求趟畏。例如:請(qǐng)求的資源已經(jīng)移動(dòng)一個(gè)新地址、常用302(所請(qǐng)求的頁面已經(jīng)臨時(shí)轉(zhuǎn)移至新的url)滩租、307和304(使用緩存資源)赋秀。
- 400~499:客戶端的請(qǐng)求有錯(cuò)誤,常用404(服務(wù)器無法找到被請(qǐng)求的頁面)律想、403(服務(wù)器拒絕訪問猎莲,權(quán)限不夠)。
- 500~599:服務(wù)器端出現(xiàn)錯(cuò)誤技即,常用500(請(qǐng)求未完成著洼。服務(wù)器遇到不可預(yù)知的情況)。
