http报文请求方法（method）和状态码

http1.1规定的八种方法，“必须大些”：

• GET：获取资源，可以理解为读取或者下载数据；
• HEAD：获取资源的元信息；
• POST：向资源提交数据，相当于写入或上传数据；（POST和PUT区别：POST一般表示新建，PUT一般表示更新）
• PUT：类似 POST；
• DELETE：删除资源；
• CONNECT：建立特殊的连接隧道（是一个比较特殊的方法，要求服务器为客户端和另一台远程服务器建立一条特殊的连接隧道，这时 Web 服务器在中间充当了代理的角色。）；
• OPTIONS：列出可对资源实行的方法；（方法要求服务器列出可对资源实行的操作方法，在响应头的 Allow 字段里返回。）
• TRACE：追踪请求 - 响应的传输路径。

cors跨域请求：跨域资源共享标准新增了一组 HTTP 首部字段，允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外，规范要求，对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET 以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST 请求），浏览器必须首先使用 OPTIONS 方法发起一个预检请求（preflight request），从而获知服务端是否允许该跨域请求。服务器确认允许之后，才发起实际的 HTTP 请求。在预检请求的返回中，服务器端也可以通知客户端，是否需要携带身份凭证（包括 Cookies 和 HTTP 认证相关数据）。在现在前端最常用的 cors 跨域中，浏览器都是用 OPTIONS 方法发预检请求的）

服务器端配置：

Access-Control-Allow-Origin：*（或者指定ip域名）

Access-Control-Allow-Headers：X-Requested-With

Access-Control-Allow-Methods：PUT,POST,GET,DELETE,OPTIONS

"Access-Control-Allow-Origin"表明它允许"http://foo.org"发起跨域请求

"Access-Control-Max-Age"表明在3628800秒内，不需要再发送预检验请求，可以缓存该结果

"Access-Control-Allow-Methods"表明它允许GET、PUT、DELETE的外域请求

"Access-Control-Allow-Headers"表明它允许跨域请求包含content-type头
如果请求带有这些头，浏览器就会发起options请求，来验证服务端是否可以请求。

请求方法的安全和幂等：

1. 安全：指服务器的数据不被破坏，因为这个样子来说，只有GET和HEAD的请求是安全的。因为只是对服务器的数据拉取，不进行更改。
2. 幂等：幂等就是在执行多次相同操作，因为结果是相同的。GET和HEAD因为服务资源不变因为是幂等。DELETE多次删除一个资源，都是资源不存在，也是幂等。POST提交数据，因为是创建新的数据，因此提交多次创建多个，所以不是幂等。PUT多次更新一个资源所以是幂等。

状态码：RFC 标准把状态码分成了五类，用数字的第一位表示分类，而 0~99 不用，这样状态码的实际可用范围就大大缩小了，由 000~999 变成了 100~599。

• 1××：提示信息，表示目前是协议处理的中间状态，还需要后续的操作；

1. 101：它的意思是客户端使用 Upgrade 头字段，要求在 HTTP 协议的基础上改成其他的协议继续通信，比如 WebSocket。而如果服务器也同意变更协议，就会发送状态码 101，但这之后的数据传输就不会再使用 HTTP 了。

• 2××：成功，报文已经收到并被正确处理；

1. “200 OK”是最常见的成功状态码，表示一切正常，服务器如客户端所期望的那样返回了处理结果，如果是非 HEAD 请求，通常在响应头后都会有 body 数据。（成功一切正常）
2. “204 No Content”是另一个很常见的成功状态码，它的含义与“200 OK”基本相同，但响应头后没有 body 数据。所以对于 Web 服务器来说，正确地区分 200 和 204 是很必要的。（成功但是没有body体返回）
3. “206 Partial Content”是 HTTP 分块下载或断点续传的基础，在客户端发送“范围请求”、要求获取资源的部分数据时出现，它与 200 一样，也是服务器成功处理了请求，但 body 里的数据不是资源的全部，而是其中的一部分。状态码 206 通常还会伴随着头字段“Content-Range”，表示响应报文里 body 数据的具体范围，供客户端确认，例如“Content-Range: bytes 0-99/2000”，意思是此次获取的是总计 2000 个字节的前 100 个字节。（代表返回部分数据）

• 3××：重定向，资源位置发生变动，需要客户端重新发送请求；

1. “301 Moved Permanently”俗称“永久重定向”，含义是此次请求的资源已经不存在了，需要改用改用新的 URI 再次访问。与它类似的是（永久）
2. “302 Found”，曾经的描述短语是“Moved Temporarily”，俗称“临时重定向”，意思是请求的资源还在，但需要暂时用另一个 URI 来访问。（临时）
3. “304 Not Modified” 是一个比较有意思的状态码，它用于 If-Modified-Since 等条件请求，表示资源未修改，用于缓存控制。它不具有通常的跳转含义，但可以理解成“重定向已到缓存的文件”（即“缓存重定向”）。

• 4××：客户端错误，请求报文有误，服务器无法处理；

1. “400 Bad Request”是一个通用的错误码，表示请求报文有错误，但具体是数据格式错误、缺少请求头还是 URI 超长它没有明确说，只是一个笼统的错误，客户端看到 400 只会是“一头雾水”“不知所措”。所以，在开发 Web 应用时应当尽量避免给客户端返回 400，而是要用其他更有明确含义的状态码。
2. “403 Forbidden”实际上不是客户端的请求出错，而是表示服务器禁止访问资源。原因可能多种多样，例如信息敏感、法律禁止等，如果服务器友好一点，可以在 body 里详细说明拒绝请求的原因，不过现实中通常都是直接给一个“闭门羹”。
3. “404 Not Found”可能是我们最常看见也是最不愿意看到的一个状态码，它的原意是资源在本服务器上未找到，所以无法提供给客户端。但现在已经被“用滥了”，只要服务器“不高兴”就可以给出个 404，而我们也无从得知后面到底是真的未找到，还是有什么别的原因，某种程度上它比 403 还要令人讨厌。
4. 405 Method Not Allowed：不允许使用某些方法操作资源，例如不允许 POST 只能 GET；
5. 406 Not Acceptable：资源无法满足客户端请求的条件，例如请求中文但只有英文；
6. 408 Request Timeout：请求超时，服务器等待了过长的时间；
7. 409 Conflict：多个请求发生了冲突，可以理解为多线程并发时的竞态；
8. 413 Request Entity Too Large：请求报文里的 body 太大；
9. 414 Request-URI Too Long：请求行里的 URI 太大；
10. 429 Too Many Requests：客户端发送了太多的请求，通常是由于服务器的限连策略；
11. 431 Request Header Fields Too Large：请求头某个字段或总体太大；

• 5××：服务器错误，服务器在处理请求时内部发生了错误。

1. “500 Internal Server Error”与 400 类似，也是一个通用的错误码，服务器究竟发生了什么错误我们是不知道的。不过对于服务器来说这应该算是好事，通常不应该把服务器内部的详细信息，例如出错的函数调用栈告诉外界。虽然不利于调试，但能够防止黑客的窥探或者分析。
2. “501 Not Implemented”表示客户端请求的功能还不支持，这个错误码比 500 要“温和”一些，和“即将开业，敬请期待”的意思差不多，不过具体什么时候“开业”就不好说了。
3. “502 Bad Gateway”通常是服务器作为网关或者代理时返回的错误码，表示服务器自身工作正常，访问后端服务器时发生了错误，但具体的错误原因也是不知道的。“503 Service Unavailable”表示服务器当前很忙，暂时无法响应服务，我们上网时有时候遇到的“网络服务正忙，请稍后重试”的提示信息就是状态码 503。503 是一个“临时”的状态，很可能过几秒钟后服务器就不那么忙了，可以继续提供服务，所以 503 响应报文里通常还会有一个“Retry-After”字段，指示客户端可以在多久以后再次尝试发送请求。