HTTP系列--报文结构

其他网址

请求报文结构介绍 - 基础 - HTTP1.1协议常识 - KK的小故事

请求报文结构

post:

get

情况1:

情况2:

get和post区别

另见:《JSP&Servlet学习笔记》

比较方面

get

post

作用

获得服务器指定的资源

发布信息给服务器

参数位置

请求行或者请求体

(参数长度无限制,若参数在请求行会出现在地址栏)

请求体

(参数长度无限制、不会出现在地址栏)

浏览器回退

不会重新提交请求

会重新提交请求

是否等幂操作

是等幂操作

不一定是等幂操作  

GET和POST的区别和应用?

        这问题挺复杂。简而言之,就是“安全”和“不安全”的区别。什么是安全?不用承担责任。什么是不安全?可能需要承担责任。举个例子,点击某个链接以同意某个协议,这个请求明显就是不安全的,因为需要承担责任。如果采用GET,就违反了GET应该用于安全请求的规范。因为浏览器可能在你不知情的情况下预加载这个页面(因为是“安全”的GET请求),这样相当于你在不知情的情况下同意了某个协议,这显然是我们不希望看到的。在契约式的设计里,违反契约的行为是会带来严重的后果的。浏览器按照契约预加载了安全的GET请求,但这本身是不安全的,带来的后果自然要由打破契约的人承担(将这个请求设计成GET的人出来挨打)。

        之所以强调“安全”,而不是按照常规的说法强调副作用,因为有副作用的请求不代表不安全;举例来说,服务器有一个显示访问人数的功能,这个功能就可以用GET来做。虽然每次访问都会发送改变服务器状态(计数器)的请求,但用户不会因为这个请求承担责任,这个请求是安全的。至于什么GET请求的URL有长度限制(后来事实证明其实没有),什么GET请求的URL里不能有中文(或者说非ASCII吧),都只是实现上的区别;从最初的设计上来说区别并不在这里。

        当然,这些都是纯粹的理论层面的东西。如果遵守RESTful的规范,采用语义化的GET/POST请求,自然也就不会有这些问题了。因为通常来说,查询是安全的;这也是GET的主要作用。

HTTP请求行

简介

第一行GET http://www.kkh86.com/http-test.do HTTP/1.1就叫做请求行,这行内容又分为以下三个元素

  1. 请求方法

    前面第一个词表示了本次HTTP请求的方法(GET、POST、PUT、DELETE、HEAD、OPTIONS、TRACE、CONNECT)

  2. 请求地址

    这个请求地址是带有host的,就算HTML里只写了“href="/http-test.do"”,但浏览器会自动跟当前网页的域名拼接成完整的地址构成这个HTTP请求信息,比如“http://www.kkh86.com/http-test.do”

    在非浏览器的请求场景中,比如通过PHP的curl函数发起请求,又或是Java、C#等代码,都必须写入完整网址,不然你只写相对路径的话人家怎么知道往哪个host发送请求呢

  3. 协议版本

    HTTP1.1表示本次通讯数据格式的书写排版是遵循HTTP的1.1版本协议的,HTTP最初的版本是1.0,但没多久就升级为1.1了,至少目前我还没见过哪个软件还使用1.0版本协议来通讯。

    我虽然看过几次1.1和1.0的具体区别,但其实多年来发现知道这些区别对我们日常开发来说没任何作用,而最后我也背不出来,建议你不要去关心这些版本区别吧,因为我可以说的就是当今能在我们各种系统中使用的浏览器都使用1.1版本与服务器通讯,你学了1.0的东西也不知往哪用。

    这个版本可以说是万年不变的,1.0因为某些缺陷被废弃了,1.1正在流行,无论你用什么抓包、浏览器抓包都是看到这个版本号,会看腻的。

    在未来5~10年等HTTP2.0版本普及后就能在抓包过程中发现1.1和2.0两个版本号了

请求体

get是否包含body?

http规范:对get和post都没有body限制和URI长度限制(即可以一样用);但规定了get用于获取资源,post用于添加。
html规范:规定了get不能带有body。如果请求不是用html发送,当然可以包含body。

        GET 请求能包含 body 但最好不要这么做。标准没有禁止,但也没有定义语义。老版本的postman是不支持在GET请求里加body的,新版本的postman则支持,如下图所示(版本为v7.27.1)

不建议get带body的原因

  1. 就算服务器不会忽略 GET 请求的body,各种代理和缓存可能也会过滤body。
  2. GET 被设计来用 URI 来识别资源,若请求体中带数据,那么通常的缓存服务便失效了,URI 不能作为缓存的 Key。

正常操作

如果在浏览器里用form标签加submit按钮提交的话,浏览器会自动将参数组装成UrlEncode格式,包括在jquery里如果这样传入一个key value对象也会自动转换成UrlEncode,最后会变成name=Jay&age=11放到请求体里面 :

$.post('/xx.do', {
	name : 'Jay',
	age : 11
});

$.ajax({
	url : '/xx.do',
	data : {
		name : 'Jay',
		age : 11
	}
});

自定义请求体

要自定义格式的话只能通过ajax请求来发送:

$.ajax({
	url : '/xx.do',
	data : JSON.stringify({
		name : 'Jay',
		age : 11
	})
});

这样构造的请求报文大概如下(主要是最后一行,请求体不是UrlEncode而是JSON):

OST http://kk/xx.do HTTP/1.1
Host: kk
Connection: keep-alive
Content-Length: 23
Pragma: no-cache
Cache-Control: no-cache
Origin: http://kk
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.104 Safari/537.36 Core/1.53.3368.400 QQBrowser/9.6.11974.400
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Referer: http://kk/it/index.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8

{"name":"Jay","age":11}

请求头字段

其他网址

HTTP协议常用头部实例详解(Request、Response)_面试_selinda001的博客-CSDN博客

可以追加自定义请求头 。见:ajax自定义header - 少用但偶尔会碰到 - 前端进阶 - KK的小故事

Accept:text/html, application/xhtml+xml, application/xml;q=0.9, image/webp, image/apng, */*; q=0.8

  • 作用:向服务器申明客户端(浏览器)可以接受的媒体类型(MIME)的资源
  • 解释:浏览器可以接受 text/html、application/xhtml+xml、application/xml类型,通配符*/* 表示任意类型的数据。并且浏览器按照该顺序进行接收。( text/html —> application/xhtml+xml —> application/xml)

Accept-encoding: gzip, deflate, br

  • 作用:向服务器申明客户端(浏览器)接收的编码方法,通常为压缩方法
  • 解释:浏览器支持采用经过 gzip,deflate 或 br 压缩过的资源

Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7

  • 作用:向服务器申明客户端(浏览器)接收的语言
  • 解释:浏览器能够接受 en-US, en 和 zh-CN 三种语言,其中 en-US 的权重最高 ( q 最高为1,最低为 0),服务器优先返回 en-US 语言
  • 延伸:语言与字符集的区别:zh-CN 为汉语,汉语中有许多的编码:gbk2312 等

Cache-control: max-age=0

  • 作用:控制浏览器的缓存,常见值为 private、no-cache、max-age、alidate,默认为 private,根据浏览器查看页面不同的方式来进行区别
  • 解释:浏览器在访问了该页面后,不再会访问服务器

Cookie:

  • 作用:告诉服务器关于 Session 的信息,存储让服务器辨识用户身份的信息。

Refer:https://www.baidu.com/xxxxxxxxxx

  • 作用:告诉服务器该页面从哪个页面链接的
  • 解释:该页面从 https://www.baidu.com 中的搜索结果中点击过来的

Upgrade-insecure-requests:1

  • 作用:申明浏览器支持从 http 请求自动升级为 https 请求,并且在以后发送请求的时候都使用 https
  • 解释:当页面中包含大量的 http 资源的时候(图片、iframe),如果服务器发现一旦存在上述的响应头的时候,会在加载 http 资源的时候自动替换为 https 请求

User-agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36

  • 作用:向服务器发送浏览器的版本、系统、应用程序的信息。
  • 解释:Chrome 浏览器的版本信息为 63.0.3239.132,并将自己伪装成 Safari,使用的是 WebKit 引擎,WebKit伪装成 KHTML,KHTML伪装成Gecko(伪装是为了接收那些为Mozilla、safari、gecko编写的界面)
  • 延伸:可以随便填(但不应该随便填)不过一般用于统计。

X-Chrome-UMA-Enabled、X-Client-Data :与 Chrome 浏览器相关的数据

响应头字段

其他网址

HTTP协议常用头部实例详解(Request、Response)_面试_selinda001的博客-CSDN博客

Accpet-ranges:bytes

  • 作用:表明自己是否接收获取某个实体的一部分(比如文件的一部分)
  • 解释:接受
  • 延伸:服务器支持断点续传,以及同时下载文件的多个部分时,必须设置为 bytes

Alt-svc: hq=”:443”; ma=2592000; quic=51303431; quic=51303339; quic=51303338; quic=51303337; quic=51303335,quic=”:443”; ma=2592000; v=”41,39,38,37,35”

  • 作用:服务器使用“alt-svc”(Alternative Servicesde)标识资源,可以通过不同的网络位置或者网络协议进行获取

Content-length:24211

  • 作用:HTTP消息实体的传输长度
  • 解释:该实体的传输长度(被 br 压缩后的长度为)24211

Content-encoding:br

  • 作用:设置数据使用的编码类型(压缩类型)
  • 解释:数据使用 br 进行压缩后返回到浏览器上

Content-type:text/html; charset=UTF-8

  • 作用:设置响应体的媒体资源类型(MIME)
  • 解释:服务器发送 html 文档,字符集为 UTF-8

Age:1037016

  • 作用:表明该响应从缓存中拿到时响应的寿命,代理服务器当前的系统时间与此应答消息中的通用消息头Date的值之差
  • 解释:该响应在缓存代理中存放了 1037016 秒

Date:Thu, 15 Feb 2018 20:31:45 GMT

  • 作用:设置响应被服务器创建的时间
  • 解释:在 GMT(格林威治标准时间)Thu, 15 Feb 2018 20:31:45,发送的响应

Expires:Fri, 01 Feb 2019 17:33:57 GMT

  • 作用:设置响应体的过期时间。如果在过期之前进行访问,就会读取缓存中的版本。
  • 解释:在 GMT(格林威治标准时间)Fri, 01 Feb 2019 17:33:57,在这个时间之前,客户端不用再向服务器发送请求
  • 延伸:如果和 Cache-control 同时存在,那么被其中的 max-age 覆盖

Last-modified:Mon, 12 Dec 2016 14:45:00 GMT

  • 作用:设置该文件在服务器端中最后被修改的时间
  • 解释:在 GMT(格林威治标准时间)Fri, 01 Feb 2019 17:33:57,该文件被服务器所修改

Vary:Accept-Encoding

  • 作用:服务器响应时根据请求头中的的值返回不同的内容的
  • 过程:浏览器 —> 请求 —> squid —> 请求 —> apache
  • 解释: 
  • apache 在 response headers 中 返回了 vary: Accept-Encoding,
  • 在 squid 中需要存储该 encoding 的值作为缓存 key 的值,比如,resourse_1 : gzip, resourse_2: deflate
  • 下次请求到 squid,需要先找到缓存文件的索引文件,根据不同的 accept-Encoding(gzip、deflate)的值来找相应的文件。

p3p:CP=”This is not a P3P policy! See g.co/p3phelp for more info.”

  • 作用:隐私安全平台(the Platform for Privary Preferences),网站向浏览器申明自己的隐私政策。

Server: gws

  • 作用:设置服务器名称

Set-cookie:

  • 作用:设置 http 的 Cookie

Status: 200

  • 作用:设置HTTP的响应状态
  • 解释:200 代表成功请求

Strict-transport-security: max-age=3600

  • 作用:HSTS 策略,告诉 HTTP 客户端缓存 HTTPS 策略多少时间。
  • 解释:在 3600 秒内,不管用户在浏览器输入不带协议的网址如:google.com 时,还是http协议的网址如:http://google.com ,都会默认将请求内部跳转到 https://google.com

X-frame-options: SAMEORIGIN

  • 作用:点击劫持保护
  • 解释:页面可以在相同域名页面的 frame中展示

X-content-type-options: nosniff

  • 作用:设置浏览器的”MIME”攻击机制
  • 解释:服务器中的内容是 image/png,那么浏览器就会显示为 image/png

X-xss-protection:1; mode=block

  • 作用:设置浏览器的XSS防护机制
  • 解释:浏览器如果检测到恶意代码,则不渲染恶意代码

 

 

     
     
     
     
     
©️2020 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值