HTTP服务和APACHE2
知识点
- 请求报文响应报文
- 错误码
- 请求重定向
- 编译安装
- 实现https
- curl工具
1. http协议
-
http协议版本
http/0.9, http/1.0, http/1.1(较多), http/2.0(将来) -
http协议无状态
- stateless 无状态
服务器无法持续追踪访问者来源 - 解决http协议无状态方法
- cookie:客户端存放
- session:服务端存放
多服务器session解决方案- 在调度器中记录cookie的id,始终将其分配到第一次访问的服务器
- 让服务器之间复制session信息,每台服务器都存放所有服务器的session
- 搭专用的session服务器(用到redis),需要实现主从,提高容错
- stateless 无状态
-
协议查看或分析的工具
tcpdump,wireshark,tshark -
http事务一次访问的过程
-
请求:request
- HTTP请求报文图示
- request报文语法格式
<method> <request-URL> <version> <headers> <entity-body>
- HTTP请求报文图示
-
响应:response
- HTTP响应报文图示
- response报文语法格式:
<version> <status> <reason-phrase> <headers> <entity-body>
- HTTP响应报文图示
-
参数说明
- method (
获取服务器支持的动作curl -i -x OPTIONS
)
请求方法,标明客户端希望服务器对资源执行的动作GET、HEAD、POST等- GET:从服务器获取一个资源
- HEAD:只从服务器获取文档的响应首部,相当于
- POST:向服务器输入数据,通常会再由网关程序继续处理
- PUT:将请求的主体部分存储在服务器中,如上传文件
- DELETE:请求删除服务器上指定的文档
- TRACE:追踪请求到达服务器中间经过的代理服务器
- OPTIONS:请求服务器返回对指定资源支持使用的请求方法
- version
http协议版本:HTTP/<major>.<minor>
- status:
三位数字,如200,301, 302, 404, 502; 标记请求处理过程中发生的情况 - reason-phrase
状态码所标记的状态的简要描述 - headers
每个请求或响应报文可包含任意个首部;每个首部都有首部名称,后面跟一个冒号,而后跟一个可选空格,接着是一个值 - entity-body
请求时附加的数据或响应时附加的数据
- method (
-
-
http协议状态码(status)分类
- 1xx:100-101 信息提示
- 2xx:200-206 成功
- 200
成功,请求数据通过响应报文的entity-body部分发送;OK
- 200
- 3xx:300-305 重定向
- 301
请求的URL指向的资源已经被删除;但在响应报文中通过首部Location指明了资源现在所处的新位置;Moved Permanently - 302
响应报文Location指明资源临时新位置 Moved Temporarily - 304
客户端发出了条件式请求,但服务器上的资源未曾发生改变,则通过响应此响应状态码通知客户端;客户端上有缓存,直接从缓存返回结果;Not Modified
- 301
- 4xx:400-415 错误类信息,客户端错误
- 401
需要输入账号和密码认证方能访问资源;Unauthorized - 403
请求被网站禁止,不是防火墙禁止访问;Forbidden - 404
服务器无法找到客户端请求的资源;Not Found
- 401
- 5xx:500-505 错误类信息,服务器端错误
- 500
服务器内部错误;Internal Server Error - 502
代理服务器从后端服务器收到了一条伪响应,如无法连接到网关;Bad Gateway - 503
服务不可用,临时服务器维护或过载,服务器无法处理请求 - 504
网关超时 Gateway Time-out
- 500
-
HTTP 首部字段(headers)
首部字段同时存在于请求和响应报文内,并涵盖 HTTP 报文相关的内容信息。使用首部字段是为了给客服端和服务器端提供报文主体大小、所使用的语言、认证信息等内容- 首部字段结构
HTTP 首部字段是由首部字段名和字段值构成的,中间用冒号“:”分隔,字段值对应单个 HTTP 首部字段可以有多个值
报文首部中出现了两个或以上具有相同首部字段名的首部字段时,在规范内尚未明确,根据浏览器内部处理逻辑的不同,优先处理的顺序可能不同,结果可能并不一致 - 首部的分类
-
通用首部
请求报文和响应报文两方都会使用的首部首部字段 描述 Date 报文的创建时间 Connection 连接状态,如keep-alive, close Via 显示报文经过的中间节点(代理,网关),用于排除,查看哪个缓存服务器不能访问 Cache-Control 控制缓存,如缓存时长 MIME-Version 发送端使用的MIME版本 Warning 错误通知 -
请求首部
从客户端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、请求内容相关优先级等信息首部字段 描述 Accept 通知服务器自己可接受的媒体类型 Accept-Charset 客户端可接受的字符集 Accept-Encoding 客户端可接受编码格式,如gzip Accept-Language 客户端可接受的语言 Client-IP 请求的客户端IP Host 请求的服务器名称和端口号 Referer 跳转至当前URI的前一个URL User-Agent 客户端代理,浏览器版本 条件式请求首部
首部字段 描述 Expect 允许客户端列出某请求所要求的服务器行为 If-Modified-Since 自从指定的时间之后,请求的资源是否发生过修改 If-Unmodified-Since 与上面相反 If-None-Match 本地缓存中存储的文档的ETag标签是否与服务器文档的Etag不匹配 If-Match 与上面相反 安全请求首部
首部字段 描述 Authorization 向服务器发送认证信息,如账号和密码 Cookie 客户端向服务器发送cookie Cookie2 用于说明请求端支持的cookie版本 代理请求首部
首部字段 描述 Proxy-Authorization 向代理服务器认证 -
响应首部
从服务器端向客户端返回响应报文时使用的首部。补充了响应的附加内容,也会要求客户端附加额外的内容信息
信息性首部字段 描述 Age 从最初创建开始,响应持续时长 Server 服务器程序软件名称和版本 协商首部:某资源有多种表示方法时使用
首部字段 描述 Accept-Ranges 服务器可接受的请求范围类型 Vary 服务器查看的其它首部列表 安全响应首部:
首部字段 描述 Set-Cookie 向客户端设置cookie Set-Cookie2 以上面相似 WWW-Authenticate 来自服务器对客户端的质询列表 -
实体首部
针对请求报文和响应报文的实体部分使用的首部。补充了资源内容更新时间等与实体有关的的信息首部字段 描述 Allow 列出对此资源实体可使用的请求方法 Location 告诉客户端真正的实体位于何处 Content-Encoding 对主体执行的编码 Content-Language 理解主体时最适合的语言 Content-Length 主体的长度 Content-Location 实体真正所处位置 Content-Type 主体的对象类型,如text 缓存相关:
首部字段 描述 ETag 实体的扩展标签 Expires 实体的过期时间 Last-Modified 最后一次修改的时间 -
扩展首部
-
- 首部字段结构
-
HTTP 无状态及解决方案 Cookie
协议自身不对请求和响应之间的通信状态进行保存。也就是说在 HTTP 这个级别,协议对于发送过的请求或响应都不做持久化处理。这是为了更快地处理大量事务,确保协议的可伸缩性,而特意把 HTTP 协议设计成如此简单的。可是随着 Web 的不断发展,很多业务都需要对通信状态进行保存。于是引入了 Cookie 技术。- Cookie 技术
使用 Cookie 的状态管理Cookie 技术通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态。Cookie 会根据从服务器端发送的响应报文内的一个叫做 Set-Cookie 的首部字段信息,通知客户端保存Cookie。
当下次客户端再往该服务器发送请求时,客户端会自动在请求报文中加入 Cookie 值后发送出去。服务器端发现客户端发送过来的 Cookie 后,会去检查究竟是从哪一个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息- cookie过期时间
- 会话cookie
生命期在浏览器会话期间,关闭浏览器此cookie就会消失,一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。 - 持久性cookie
若设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间,存储在硬盘上的cookie可以在不同的浏览器进程间共享
- 会话cookie
- 安全性
- 隐患
在Web应用中,Cookie常用来标记用户或授权会话。因此,如果Web应用的Cookie被窃取,可能导致授权用户的会话受到攻击,例如跨站请求伪造(CSRF)跨站请求伪造(CSRF)
如在不安全聊天室或论坛上的一张图片,它实际上是一个给你银行服务器发送提现的
当你打开含有了这张图片的HTML页面时,如果你之前已经登录了你的银行帐号并且Cookie仍然有效(还没有其它验证步骤),你银行里的钱很可能会被自动转走。 - 应对方法
- 对用户输入进行过滤阻止XSS
- 任何敏感操作都需要确认
- 用于敏感信息的cookie只能拥有较短的生命期
- 隐患
- Set-Cookie首部字段
- 示例
Set-Cookie: status=enable; expires=Fri, 24 Nov 2017 20:30:02 GMT; path=/;
- 键值描述
- NAME=VALUE
赋予 Cookie 的名称和其值,此为必需项 - expires=DATE
Cookie 的有效期,若不明确指定则默认为浏览器关闭前为止 - path=PATH
将服务器上的文件目录作为Cookie的适用对象,若不指定则默认为文档所在的文件目录 - domain=域名
作为 Cookie 适用对象的域名,若不指定则默认
- NAME=VALUE
- 示例
- cookie过期时间
- Cookie 技术