http协议请求与响应
http协议请求与响应报文:
部分 | 描述 |
---|---|
请求行 | 包括请求方法、URL和HTTP协议版本 |
消息报头 | 包括一系列的名称/值对,用于描述请求/响应的属性 |
请求正文 | 可选的,用于在HTTP请求中传递数据 |
状态行 (响应) | 包括HTTP协议版本、状态代码和状态代码的描述 |
消息报头 | 包括一系列的名称/值对,用于描述响应的属性 |
响应正文 | 包含服务器返回的数据 |
请求头字段
请求头 | 描述 |
---|---|
Host | 主要用于指定被请求资源的Internet主机和端口号 |
User-Agent | 向服务端传递客户端操作系统、浏览器、和其他属性 |
Referer | 包含一个URL,代表当前URL的上一个URL |
Cookie | 是一段文本,通常来表示请求者的身份 |
Range | Range可以请求实体部分内容,多线程下载一定会用到此请求头 |
x-forward-for | 即XFF头,代表请求端的IP,也可以是多个,中间用逗号隔开 |
Accept | 用于指定客户端接收哪些MIME类型的信息 |
Accept-Charset | 用于指定客户端接收的字符集 |
HTTP响应
状态代码有三位数字组成,第一个数字定义了响应的类别,且有五种可能取值:
- 1xx:指示信息–表示请求已接收,继续处理,范围是100~101
- 2xx:成功–表示请求已被成功接收、理解、接受,范围是200~206
- 3xx:重定向–要完成请求必须进行更进一步的操作,范围是300~305
- 4xx:客户端错误–请求有语法错误或请求无法实现,范围是400~415
- 5xx:服务器端错误–服务器未能实现合法的请求,范围是500~505
常见状态码 | 含义 |
---|---|
200 | 客户端请求成功 |
302 | 重定向 |
404 | 请求的资源不存在 |
400 | 客户端请求有语法错误,不能被服务器所理解 |
401 | 请求未授权 |
403 | 服务器收到请求,但是拒绝提供服务 |
500 | 服务器内部错误 |
503 | 服务器当前不能处理客户端的请求,一段时间后可能恢复正常 |
HTTP请求方式
GET | GET方法用于获取请求页面的指定形式 |
---|---|
POST | GET方法没有请求内容,而POST是有请求内容的,且GET请求会将发送的数据显示在浏览器端,而POST请求则不会 |
HEAD | HEAD方法除了服务器不能在响应里返回消息主体,其他的与GET方法相同 |
PUT | PUT方法用于请求服务器把请求实体存储在请求资源下,如果请求资源已经存在服务器中,将会用此请求中的数据替换原先的数据,作为指定支援的最新修改版。 |
DELETE | DELETE方法用于请求资源服务器删除指定的支援 |
---|---|
TRACE | TRACE方法一般用于激发一个远程应用层的请求消息回路。回显服务器收到得到请求。 |
CONNECT | 为了用于能动态的切换到隧道的代理 |
OPTIONS | OPTIONS方法用于请求获取URI标识的资源在请求/响应的通信过程中可以使用的功能选项。 |
HTTP安全问题
HTTP与HTTPS
HTTP面临着数据明文传送和缺乏对消息完整性的验证这两个
问题。
HTTPS协议,通过在TCP层与HTTP层增加一个SSL(安全套接字层)来增强数据传输时的安全性。
HTTP协议 | HTTPS协议 |
---|---|
信息明文传输 | 有安全性的SSL加密传输协议 |
HTTP是80端口 | HTTPS是443端口 |
需要到CA申请证书 | 而HTTP不需要 |
连接相对简单,是无状态的 | 由SSL+HTTP协议构建的可进行加密传输 |
Cookie与session
Cookie通过在客户端记录信息确定用户身份
Session通过在服务器端记录信息确定用户身份。
Session 与 Cookie 的作用都是为了保持访问用户与后端服务器的交互状态。
Cookie——长期门禁
Cookie由服务器端向客户端写入,包含在http响应头中的setcookie字段,格式如下
Set-Cookie:NAME=VALUE[;domain=DOMAIN][;path=PATH][;max- age=AGE][;expire=EXPIRE][;secue][;HttpOnly]
部分 | 功能 |
---|---|
path部分 | 控制哪些访问能够触发该Cookie的发送,如果没有指定path。cookie对全站生效 |
expire部分 | 指明了过期时间,如果没有指定,cookie会持续到这次回话结束,现在已经被max-age取代 |
secure | 如果指定了secure,那么该cookie只能通过安全通道传输(SSL通道) |
httponly | 支持httponly cookie的浏览器中,JavaScript无法读取和修改cookie,这样可以让cookie免受脚本攻击 |