【HTTP协议（超文本传输协议）】

http协议请求与响应

http协议请求与响应报文：

部分	描述
请求行	包括请求方法、URL和HTTP协议版本
消息报头	包括一系列的名称/值对，用于描述请求/响应的属性
请求正文	可选的，用于在HTTP请求中传递数据
状态行 （响应）	包括HTTP协议版本、状态代码和状态代码的描述
消息报头	包括一系列的名称/值对，用于描述响应的属性
响应正文	包含服务器返回的数据

请求头字段

请求头	描述
Host	主要用于指定被请求资源的Internet主机和端口号
User-Agent	向服务端传递客户端操作系统、浏览器、和其他属性
Referer	包含一个URL，代表当前URL的上一个URL
Cookie	是一段文本，通常来表示请求者的身份
Range	Range可以请求实体部分内容，多线程下载一定会用到此请求头
x-forward-for	即XFF头，代表请求端的IP，也可以是多个，中间用逗号隔开
Accept	用于指定客户端接收哪些MIME类型的信息
Accept-Charset	用于指定客户端接收的字符集

HTTP响应
状态代码有三位数字组成，第一个数字定义了响应的类别，且有五种可能取值：

• 1xx：指示信息–表示请求已接收，继续处理，范围是100~101
• 2xx：成功–表示请求已被成功接收、理解、接受，范围是200~206
• 3xx：重定向–要完成请求必须进行更进一步的操作，范围是300~305
• 4xx：客户端错误–请求有语法错误或请求无法实现，范围是400~415
• 5xx：服务器端错误–服务器未能实现合法的请求，范围是500~505

常见状态码	含义
200	客户端请求成功
302	重定向
404	请求的资源不存在
400	客户端请求有语法错误，不能被服务器所理解
401	请求未授权
403	服务器收到请求，但是拒绝提供服务
500	服务器内部错误
503	服务器当前不能处理客户端的请求，一段时间后可能恢复正常

HTTP请求方式

GET	GET方法用于获取请求页面的指定形式
POST	GET方法没有请求内容，而POST是有请求内容的，且GET请求会将发送的数据显示在浏览器端，而POST请求则不会
HEAD	HEAD方法除了服务器不能在响应里返回消息主体，其他的与GET方法相同
PUT	PUT方法用于请求服务器把请求实体存储在请求资源下，如果请求资源已经存在服务器中，将会用此请求中的数据替换原先的数据，作为指定支援的最新修改版。

DELETE	DELETE方法用于请求资源服务器删除指定的支援
TRACE	TRACE方法一般用于激发一个远程应用层的请求消息回路。回显服务器收到得到请求。
CONNECT	为了用于能动态的切换到隧道的代理
OPTIONS	OPTIONS方法用于请求获取URI标识的资源在请求/响应的通信过程中可以使用的功能选项。

HTTP安全问题

HTTP与HTTPS

HTTP面临着数据明文传送和缺乏对消息完整性的验证这两个
问题。
HTTPS协议，通过在TCP层与HTTP层增加一个SSL(安全套接字层)来增强数据传输时的安全性。

HTTP协议	HTTPS协议
信息明文传输	有安全性的SSL加密传输协议
HTTP是80端口	HTTPS是443端口
需要到CA申请证书	而HTTP不需要
连接相对简单，是无状态的	由SSL+HTTP协议构建的可进行加密传输

Cookie与session

Cookie通过在客户端记录信息确定用户身份
Session通过在服务器端记录信息确定用户身份。

Session 与 Cookie 的作用都是为了保持访问用户与后端服务器的交互状态。

Cookie——长期门禁

图2：Cookie——长期门禁

Cookie由服务器端向客户端写入，包含在http响应头中的setcookie字段，格式如下
Set-Cookie:NAME=VALUE[;domain=DOMAIN][;path=PATH][;max- age=AGE][;expire=EXPIRE][;secue][;HttpOnly]

部分	功能
path部分	控制哪些访问能够触发该Cookie的发送，如果没有指定path。cookie对全站生效
expire部分	指明了过期时间，如果没有指定，cookie会持续到这次回话结束，现在已经被max-age取代
secure	如果指定了secure，那么该cookie只能通过安全通道传输（SSL通道）
httponly	支持httponly cookie的浏览器中，JavaScript无法读取和修改cookie，这样可以让cookie免受脚本攻击

Session——临时门禁

获取sessionID流程