本文介绍了如何构造HTTP请求,包括GET和POST方法,以及通过Ajax和第三方工具Postman进行请求测试。同时,讨论了HTTPS的安全性,包括对称加密、非对称加密和中间人攻击问题,以及解决方案——证书和数字签名在验证服务器身份中的作用。
构造http请求
GET请求:
1.地址栏输入
2.点击收藏夹
3.html中link script img a 等等标签(img标签可以用于向服务器获取图片资源,并在页面上将图片显示出来。img标签的src属性即指向了图片的URL地址,当浏器加载该页面时,会自动向指定的URL中发送GET请求以获取图片资源。)
4.from标签
from标签构造(z)
步骤1:
步骤2:
页面效果:文本框输入内容点击提交就跳转搜狗主页;这里我们虽然写了query string是什么;但是服务器并没有对我们这种特殊的情况进行特殊的处理响应。因为搜狗程序员在写服务器响应针对这种情况;默认是返回搜狗主页。如果是我们自己写网站写着玩就可以在服务器的响应;针对这种情况;返回的响应是一个胡歌帅脸。
抓包效果:
除了首行;剩下的部分都是浏览器自主添加的。
GET请求的HTTP协议标准并不禁止GET请求中携带请求体,因此自定义GET请求时,理论上可以写入Body。但是,实际上,绝大多数Web服务器和客户端软件都不支持GET方法中带有请求体,亦即GET请求中的消息体是无效的,被忽略的。因此,即使可以写入请求体,GET方法也不能够它来传递数据。所以我们只能通过“query string键值对的方式传递(所以post好;它都能做)
Ajax(阿加克斯)
Ajax也是浏览器提供的构造http请求方式;是通过js构造。(js原生提供的ajax api特别难用;jQuery提供的基于原生的封装则简单不少)
同步和异步:
同步是等待结果后才能往下执行;异步是不需要等待结果后才能往下执行。实现异步这种方式一般需要借助多线程;IO多路复用实现。
A:异步asynchronize;发送请求后不必等服务器响应回来;就可以立即先往后执行;等服务器响应回来由浏览器通知到代码中。
使用步骤:
1:先创建html;script标签
2:引入jquery
http://releases.jquery.com/
在URL输入这里连接;会出现jQuery源码
3:把刚才复制的链接粘贴到src属性
另一种引入方式:搜索jQuery cdn;
https://cdn.bootcdn.net/ajax/libs/jquery/3.6.3/jquery.min.js
浏览器打开后也是jQuery源码;将这里的源码全部复制;然后新建js文件;粘贴进去;然后在代码中引入这个文件
还是第一种方式比较简单。本质是一样,
3:代码编写
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<script src="https://code.jquery.com/jquery-3.6.4.min.js"></script>
<script>
// $是一个特殊的全局对象;jquery的api都是以$的方法形式引出来。这个方法里面只有一个参数;大括号包着
$.ajax( {
// 这里type是get类型方法
type:"get",
// query string内容就在url里添加;可以写固定;也可以通过其它方法实现动态输入
url :"https://www.sogou.com?xiaoxiaoliao=温柔善良",
success:function(data){
//回调函数; 体现异步;请求一发出去ajax方法立即执行完;
//往后走请求发送会直接往下执行;直到响应回来浏览器通知了;就继续执行这里代码
//data是响应的正文部分;通过这个参数可以知道响应的结果。
console.log("服务器响应回来后;浏览器通知继续执行回调函数方法");
}
}
);
console.log("浏览器先执行后续代码");
</script>
</body>
</html>
但是这个代码;只能看到构造的请求;没法获取正确的响应;还是刚才说的;人家没针对你这种特殊情况特殊处理响应;所以这里就报错了;这个请求给服务器发;如果是我们自己设计服务器就可以针对这种情况处理。
如果有多份ajax方法构造这个请求;它是按顺序发送请求;但是收到响应;进行回调函数的执行顺序就不一定。不知道是谁先回来(网络环境很复杂的)。
如果发请求前异常;后续代码没发执行。如果异常只是出现在响应的回调里;那就只是回调线程异常;不影响其它的执行。浏览器实现ajax内部使用多线程。
form与ajax区别:
ajax功能更强;1:能支持其它put;delete等方法;2:ajax发送的请求可以灵活设置header;
3:ajax发送请求的body也是可以灵活设置
第三方工具 postman
通常我们进行后端的开发;前端开发又是另一个团队的工作。那么我们有时需要请求测试我们代码是否能正常交互。这时这种工具就能方便很多。
下载:
使用:
创建完成;在这里编写http请求。
header可以自己设置或者添加
body也可以自己在里添加,
然后点击send发送;下方会出现响应的格式
postman还能生成代码;方便我们能集成自己的程序。
还能java socket构造http请求;往socket写一个字符串;先不涉及这块知识。
https
https=http+ssl
ssl安全层;加密的协议;能解决运营商劫持。
加解密
加密:把明文进行一系列的变换;生成密文
解密:把密文一系列变换还原成明文。
加密解密过程使用的东西就叫密钥;
对称加密:
同一个密钥;可以用来加密;也可以用来解密。(安全的前提是密钥不能让黑客知道)
对称加密密钥从哪来(一个服务器对应多个客户端)
从客户端生成:那客户端就得把密钥告诉服务器;那密钥也不能明文传输;也得加密。那就不完全使用对称加密
引入非对称加密(用来加密密钥)。
针对这个 “对称加密使用的密钥” 进行加密:生成一对密钥;明文+公钥=密文;密文+私钥=明文。公钥是公开的;私钥是私藏的。
为什么这样子可行呢?这里反推私钥在目前的计算机不太可能实现;计算量太大。
客户端持有公钥:客户端公钥从服务器拿;黑客也能拿到这个公钥
客户端使用公钥进行加密 “对称加密使用的密钥” ;传给服务器。服务器拿私钥用非对称加密的方式解这个 “客户端用公钥加密的密钥”。
(得到这个对称加密明文的密钥就简单了;后续就使用这个来加解密)
服务器持有私钥:服务器独有
如果全部使用非对称加密也是不行的;两者结合;方可做到速度与品质的统一;又快又安全。非对称加密太慢了。
中间人攻击
基于上诉情况;黑客来了一手狸猫换太子。
这样一来小黑子就知道你对称加密用的密钥;这就不知不觉的在你不知情的情况下把你数据获取了。重点在于客户端无法验证;公钥是不是来自服务器。
中间人攻击问题解决
引入证书
证书:能让客户端辨别;当前的响应公钥是服务器真实的公钥(证书需要专门的认证机构申请没法造假);客户端申请公钥是把整个证书都请求过去。认证机构;那个黑客是没有这个的。黑客没法对接认证机构。
客户端拿到证书后:对证书进行校验,证书上面有一个特殊的字段叫做证书的签名。
签名:证书上特定的字段;只能由一个人生成;没法仿造
签名相当于加密的字符串;客户端使用认证机构提供公钥进行计算验证;结果生成一个hash1值。客户端可以使用同样的hash算法;针对其它的字段再一次计算hash值;得到hash2,再比较签名中解的和自己算的是不是相同。
认证机构使用私钥用来加密hash值得到签名;公钥是客户端拥有的使用公钥解密签名获取hash。
这个哈希值;人人都能解开来;但是没法仿造重写生成签名;因为这个生成签名的私钥只有认证机构有。(黑客能解;用户也能解;但是我们的目的只是验证这个信息是否来自真正的服务器;目的达到了;所以就更安全了)
1.判断证书的有效期是否过期
2.判定证书的发布机构是否受信任(操作系统已经内置了受信任的证书发布机构)
3:验证这个哈希值是否一样
扫一扫
1316
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
