HTTP协议详解

最新推荐文章于 2023-06-19 19:40:15 发布

Coconutnn

最新推荐文章于 2023-06-19 19:40:15 发布

阅读量447

点赞数

本文链接：https://blog.csdn.net/Hushboom/article/details/105249626

版权

HTTP协议

1.应用层的主要协议

什么是协议？网络协议是计算机双方通信交流必须遵守的约定。
FTP：用于文件传输访问和管理
SMTP、POP3：电子邮件
HTTP：超文本传输协议，万维网数据通信的基础
DNS：查询服务和远程作业登陆

2.概述

HTTP协议是一个客户端和服务器端请求应答的标准，基于TCP/IP通信协议来传递数据（HTML 文件, 图片文件, 查询结果等）
在客户端传输和服务器通过HTTP传输信息之前，首先要建立TCP连接，TCP协议为HTTP信息传输提供可靠性保障以及拥塞管理等服务；HTTP默认使用80端口；

3.URL（统一资源定位符）

URL就是我们俗称的"网址“，用来描述资源信息；
例如一个URL：
http://user:pass @www.example.cn:80/dir/index.htm?uid=1#ch1
协议方案名/登录信息@服务器地址：服务器端口号/带层次的文件路径？查询字符串#片段标识符
URL中的信息一般包括：

4.HTTP协议格式

HTTP请求消息包括：请求行，请求报头，空行，请求正文

请求首行：方法 URL 版本
头部: 请求的属性，冒号分割的键值对；每组属性之间使用\n分隔；
空行：间隔头部和正文
正文: 空行后面的内容都是Body；允许为空字符串；如果有body则在Header中会有一个ContentLength属性标识Body的长度；（GET请求没有正文）

HTTP响应消息格式：状态行，响应报头，空行，请求正文

响应首行：版本号状态码状态解释
响应头：请求的属性，冒号分割的键值对；每组属性之间使用\n分隔；
空行：间隔头部和正文；
正文: 空行后面的内容都是Body；如果服务器返回了一个HTML页面，那么HTML页面内容就在Body中；

常见请求头：

Host：主机地址和端口
Connection：连接类型，长连接还是短连接
Cookie：用于在客户端存储少量信息，通常用于实现会话（session)功能
User-Agent ：声明用户的操作系统和浏览器版本信息
Accept：可以接收的响应内容类型
Referer：页面跳转处，表明从哪一个地址跳转到当前页面

常见响应头：

Set-Cookie：设置HTTP Cookie,cookie被设置在请求的服务端域名下（例如网站不用每次都登陆）
Allow：服务器支持哪些请求方法（如GET、POST）
Session：特指保存在服务端的信息
Location ：重定向，表示客户应当到哪里去提取文档，接下来访问哪里

通用头：

Content -Length ：请求体/响应体的长度，单位是字节
Content-Encoding：请求体响应体的编码格式
Cache-Control：表示该资源缓存有效期
Content-Type ：请求体/响应体的类型，例如：text/plain（纯文本格式），text/html（html格式）

5.HTTP请求方法

HTTP/1.1协议中定义了八种请求方法：

GET： 请求指定的页面信息获取资源，并返回实体主体；一般GET方法只用来读取信息，请求不会影响到资源的状态；
HEAD：获取页面头部，类似于get，只不过返回的响应中没有具体的内容，用于获取报头；
POST ： 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）；数据被包含在请求体中；POST请求可能会导致新的资源的建立或已有资源的修改；
PUT： 向指定资源位置上传数据取代指定的文档的内容；
DELETE ： 请求服务器删除指定的页面；
CONNECT ： 能够将连接改为管道方式的代理服务器；
OPTIONS ： 允许客户端查看服务器的性能；
TRACE： 回显服务器收到的请求，主要用于测试或诊断；

6.状态码

状态代码有三位数字组成，第一个数字定义了响应的类别，共分五种类别:

1xx：指示信息–表示请求已接收，正在处理
2xx：成功–表示请求已成功接收，正常处理完毕
3xx：重定向–需要进行附加操作以完成请求
4xx：客户端错误–请求有语法错误，服务器无法处理请求
5xx：服务器端错误–服务器处理请求出错

常见状态码：

200 OK                        //客户端请求成功
400 Bad Request               //客户端请求有语法错误，不能被服务器所理解 
403 Forbidden                 //服务器收到请求，但是拒绝提供服务
404 Not Found                 //服务器无法根据客户端的请求找到资源（网页），输入了错误的URL
500 Internal Server Error     //服务器发生不可预期的错误
503 Server Unavailable        //服务器当前不能处理客户端的请求，一段时间后可能恢复正常
504 Bad Gateway				  //充当网关或代理的服务器，未及时从远端服务器获取请求

6.GET和POST的区别

1、报文格式：GET提交，请求的数据会附在URL之后，以?分割URL和传输数据，多个参数用&连接；
POST提交：把提交的数据放置在是HTTP请求体中

因此，GET提交的数据会在地址栏中显示出来，而POST提交地址栏不会改变；

2、传输数据的大小：HTTP协议没有对传输的数据大小进行限制，HTTP协议规范也没有对URL长度进行限制；而在实际开发中存在的限制来源于特定浏览器和服务器，服务器对URL的限制考虑于处理较长的URL要消耗较多的资源，为了性能和安全考虑；

POST:由于不是通过URL传值，理论上数据不受限；但实际各个WEB服务器会规定对post提交数据大小进行限制，Apache、IIS6都有各自的配置；

因此GET提交时，传输数据就会受到URL长度的限制；所以传输较大数据用POST请求方法；

3、安全性：POST的安全性要比GET的安全性高；比如：通过GET提交数据，用户名和密码将明文出现在URL上；但POST的安全性是相对的，HTTP在网络上传输是明文的，我们通过抓包工具可以获得HTTP的报文信息，要想安全传输就得用到HTTPS；

4、缓存：GET提交的数据能被缓存，能被保留在浏览器历史，而post不会；

5、数据类型：GET提交，请求的数据会附在URL之后，所以只允许ASCLII字符；而POST数据存放在请求体中，对数据没有限制，在POST提交中，请求头Content-Type指定请求体的类型，例如文本格式还是HTML格式等等，服务端在读取的时候就用请求头Content-Type来进行解析；

7.HTTP和HTTPS的区别

http，都是明文传送，很容易被窃取或者侦听，在现有的互联网应用中，很明显有不安全因素，所以有了https，可以简单理解成https多了一层加密解密层，

HTTP协议传送数据（包括账号和密码），信息为明文传输；HTTPS为超文本传输安全协议，它是具有安全性的SSL（安全套接层）加密传输协议；HTTPS在HTTP和TCP之间多了一层SSL协议，专门用来进行加密操作，在发送前加密收到后解密，网络里传输的都是经过加密的数据，所以HTTPS更安全；
HTTP和HTTPS连接方式不同，客户端发起HTTP连接时默认会连接服务器的TCP80端口，而发起HTTPS连接时连接服务器的TCP443端口；
HTTPS协议需要到CA（证书授权中心）申请证书，因为在进行SSL连接时客户端需要得到服务端的CA证书，证书里面包含着服务端的公钥，需要它来加密；
状态不同：HTTP是无状态的；而HTTPS协议是SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比HTTP协议安全；

8.session和cookie

因为HTTP是一个无状态的协议，上一次请求和这一次之间没有任何关系；因此当需要进行用户状态保持的场景时（如：登陆状态下页面跳转）就需要用到：session和cookie

cookie：是一种在浏览器端解决的方案，将登录认证之后的用户信息保存在本地浏览器，每次发起http请求自动携带上cookie信息，就能保持用户在线的状态；
设置cookie的方法：在HTTP的Response报头中可以携带Set-Cookie字段；
session：将用户的信息放在浏览器端虽然能解决一定问题，但也存在安全问题，cookie一旦丢失用户信息就会泄露，也很容易造成跨站攻击；所以另一种解决方案是把用户敏感信息保存在服务器，服务器本身采用md5算法或相关算法生成唯一值（session id),将该值保存在客户端浏览器，客户端的后续请求会携带session id，进而在服务器端认证，达到状态保持的效果；

cookie和session的区别：

cookie以文本格式保存在浏览器中，而session存储在服务端
每次HTTP请求都要携带有效cookie信息，所以cookie一般有大小限制，防止增加网络压力；
cookie值可以轻松访问，但session值无法轻松访问，所以session更安全；

如果本地禁止cookie怎么办？
使用session还是要使用cookie机制来保存session id，但如果客户端cookie机制被禁了，还可以使用一种技术：URL重写。就是把session id直接附加在URL路径后面；
还有一种技术：表单隐藏字段，就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器；

9.HTTP1.0和HTTP1.1和HTTP2.0的区别

HTTP1.0 VS HTTP2.0:

长连接。HTTP1.0是短连接，每次请求都要创建连接，需要使用keep-alive参数来告知服务器端要建立一个长连接；HTTP1.1是长连接，默认开启keep-alive，在一个TCP连接上可以传送多个HTTP请求和响应；
keep-alive：使客户端到服务器端的连接持续有效，当出现对服务器的后继请求时，keep-alive功能避免了建立或者重新建立连接；
带宽优化。HTTP1.0浪费带宽，不支持断点续传（客户端只需要某个对象的一部分，而服务器却把整个对象传过来）；HTTP1.1节约带宽，支持只发送header信息不带Body，如果服务器返回100，客户端才开始把请求body发送到服务器，如果返回401，客户端就可以不发送body；
Host头处理。 HTTP1.0认为服务器都绑定一个唯一的IP地址，因此请求中没有host域，没有传递主机名； HTTP1.1请求和响应消息中都支持host域，且请求消息中如果没有 Host 头域会报告一个错误。因为虚拟主机技术的发展，在一台物理服务器上可以存在多个虚拟主机，并且它们共享一个 IP 地址；

HTTP1.X VS HTTPS2.0:

多路复用。HTTP2.0使用多路复用技术，做到同一个连接并发处理多个请求，而且并发请求的数量比HTTP1.1大了好几个数量级；HTTP1.1也可以多建立几个TCP连接来支持更多并发的请求，但是创建TCP连接本身也是有开销；
header压缩。 HTTP2.0使用HPACK算法对header数据进行压缩，HTTP1.1不支持header数据压缩；
服务端推送。网页使用的资源:HTML、样式表、脚本、图片等等，在HTTP1.1中这些资源每一个都必须明确地请求；HTTP2.0允许服务器推送资源给浏览器，客户端可以直接从本地加载这些资源，在浏览器请求之前，不需要客户端再次创建连接发送请求到服务器获取资源；
新的二进制格式。HTTP1.x 的解析是基于文本，文本的表现形式多样，要做到健壮性考虑的场景必然很多；但二进制不同，只认 0 和 1 的组合， HTTP2.0 的协议解析采用二进制格式，方便且健壮；