Http协议入门

最新推荐文章于 2023-07-09 00:15:00 发布

losemyfuture

最新推荐文章于 2023-07-09 00:15:00 发布

阅读量487

点赞数

分类专栏： Java web http losemyfuture的博客文章标签： http

本文链接：https://blog.csdn.net/qq_37049496/article/details/81450130

版权

Java 同时被 3 个专栏收录

42 篇文章 3 订阅

订阅专栏

losemyfuture的博客

25 篇文章 0 订阅

订阅专栏

web

3 篇文章 0 订阅

订阅专栏

1 什么是http协议

http协议：浏览器客户端和服务器端之间数据传输的格式规范

1.1 Http请求

GET /hello HTTP/1.1               -请求行
Host: localhost:8080                    --请求头（多个key-value对象）
User-Agent:Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Mobile Safari/537.36
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Accept-Encoding: gzip, deflate
Connection: keep-alive
                                    --一个空行
name=eric&password=123456             --（可选）实体内容

请求行

GET /hello HTTP/1.1

http协议版本

http1.0：当前浏览器客户端与服务器端建立连接之后，只能发送一次请求，一次请求之后连接关闭。

http1.1：当前浏览器客户端与服务器端建立连接之后，可以在一次连接中发送多次请求。（基本都使用1.1）

请求资源

URL: 统一资源定位符。http://localhost:8080/testImg.html。只能定位互联网资源。是URI 的子集。

URI:统一资源标记符。/hello。用于标记任何资源.可以是本地文件系统，局域网的资源（//192.168.14.10/myweb/index.html），可以是互联网。

请求方式

常见的请求方式： GET 、 POST、 HEAD、 TRACE、 PUT、 CONNECT 、DELETE

GET vs POST 区别

GET: 1、地址栏（URI）会跟上参数数据。以？开头，多个参数之间以&分割。

2、GET提交参数数据有限制，不超过1KB。GET方式不适合提交敏感密码。浏览器直接访问的请求，默认提交方式是GET方式

POST：1、参数不会跟着URI后面。参数而是跟在请求的实体内容中。没有？开头，多个参数之间以&分割。POST提交的参数数据没有限制.POST方式提交敏感数据。

请求头

Accept: text/html,image/* -- 浏览器接受的数据类型

Accept-Charset: ISO-8859-1 -- 浏览器接受的编码格式

Accept-Encoding: gzip,compress --浏览器接受的数据压缩格式

Accept-Language: en-us,zh- --浏览器接受的语言

Host: www.it315.org:80 --（必须的）当前请求访问的目标地址（主机:端口）

If-Modified-Since: Tue, 11 Jul 2000 18:23:51 GMT --浏览器最后的缓存时间

Referer: http://www.it315.org/index.jsp -- 当前请求来自于哪里

User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) --浏览器类型

Cookie:name=eric -- 浏览器保存的cookie信息

Connection: close/Keep-Alive -- 浏览器跟服务器连接状态。close: 连接关闭 keep-alive：保存连接。

Date: Tue, 11 Jul 2000 18:23:51 GMT -- 请求发出的时间

实体内容

只有POST提交的参数会放到实体内容中

传递的请求参数如何获取

GET方式：参数放在URI后面

POST方式：参数放在实体内容中

获取GET方式参数：

request.getQueryString();

获取POST方式参数：

request.getInputStream();

问题：但是以上两种不通用，而且获取到的参数还需要进一步地解析。

所以可以使用统一方便的获取参数的方式:

核心的API：

request.getParameter("参数名"); 根据参数名获取参数值（注意，只能获取一个值的参数）

request.getParameterValue("参数名“)；根据参数名获取参数值（可以获取多个值的参数）

request.getParameterNames(); 获取所有参数名称列表

1.2 Http响应

HTTP/1.1 200 OK --响应行

Server: Apache-Coyote/1.1 --响应头（key-vaule）

Content-Length: 24 响应头内容长度

Date: Fri, 30 Jan 2015 01:54:57 GMT

--一个空行

this is hello servlet!!! --实体内容

响应行

http协议版本

状态码: 服务器处理请求的结果（状态）

常见的状态：

200 ：表示请求处理完成并完美返回

302：表示请求需要进一步细化（重定向）。

304：读取本地缓存
404：表示客户访问的资源找不到。

403 ：参数错误

500：表示服务器的资源发送错误。（服务器内部错误）

状态描述

常见的响应头

Location: http://www.it315.org/index.jsp -表示重定向的地址，该头和302的状态码一起使用。

Server:apache tomcat ---表示服务器的类型

Content-Encoding: gzip -- 表示服务器发送给浏览器的数据压缩类型

Content-Length: 80 --表示服务器发送给浏览器的数据长度

Content-Language: zh-cn --表示服务器支持的语言

Content-Type: text/html; charset=GB2312 --表示服务器发送给浏览器的数据类型及内容编码

Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT --表示服务器资源的最后修改时间

Refresh: 1;url=http://www.it315.org --表示定时刷新

Content-Disposition: attachment; filename=aaa.zip --表示告诉浏览器以下载方式打开资源（下载文件时用到）

Transfer-Encoding: chunked

Set-Cookie:SS=Q0=5Lb_nQ; path=/search --表示服务器发送给浏览器的cookie信息（会话管理用到）

Expires: -1 --表示通知浏览器不进行缓存

Cache-Control: no-cache

Pragma: no-cache

Connection: close/Keep-Alive --表示服务器和浏览器的连接状态。close：关闭连接 keep-alive:保存连接

HttpServletResponse对象

HttpServletResponse对象修改响应信息：

响应行：

response.setStatus() 设置状态码

响应头：

response.setHeader("name","value") 设置响应头

实体内容：

response.getWriter().writer(); 发送字符实体内容

response.getOutputStream().writer() 发送字节实体内容

1.3 使用时间戳防止浏览器缓存

新增一个web项目，再webapp目录创建目录img，copy一张图片，然后在然和一个jsp文件中获取之。

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Form表单</title>
</head>
<body>
<img alt="" src="img/timg.jpg"/>
<img alt="" src="img/timg.jpg"/>
<img alt="" src="img/timg.jpg"/>
</body>
</html>

第一访问http://localhost:8080/from.jsp如下图，浏览器发送了两次请求from.jsp和timg.jpg。

再次刷新浏览器，可以看到仅仅发送了一次请求from.jsp?304代表读取浏览器缓存。

那么这有什么问题呢？很简单，比如服务器上timg.jpg这个图片已经改变了，但是由于浏览器缓存导致其没有读取服务器最新的timg.jpg，所以版本发布的时候这个很重要。还有浏览器对一些js文件也会进行缓存，这样浏览器发送请求可能就会有一些bug。

其实这个解决也很简单，只要在每张图片后面加一个时间戳即可

这样服务器发布版本时，只需更改为最新的时间戳就好

<%@ page import="java.util.Date" %><%--
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Form表单</title>
</head>
<body>
<img alt="" src="img/timg.jpg?t=<%= System.currentTimeMillis()/1000%>"/>
<img alt="" src="img/timg.jpg?t=<%= System.currentTimeMillis()/1000%>"/>
<img alt="" src="img/timg.jpg?t=<%= System.currentTimeMillis()/1000%>"/>

</body>
</html>

1.4 防盗链（refer）

简单的说，比如a网站有某个资源（图片、视频等），那么b网站通过访问Http请求获取a网站上的这些资源并展示在b网站下，也就是不管请求来源（当前域名下或者其他域名）是什么都可以访问获取到该资源，这就是盗用。反之如果a网站禁止其他域名获取该资源，这就是反盗用（防盗链）。

1、修改hosts文件添加一下内容：

127.0.0.1 www.a.com
127.0.0.1 www.b.com

3、新建两个web项目，并配置其中一个路径为a，另一个为b。端口均为80端口，两个项目均添加以下代码以及依赖：

@WebServlet("/index")
public class IndexServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        req.getRequestDispatcher("/index.jsp").forward(req,resp);
    }
}

        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.4</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>8.5.31</version>
        </dependency>

3、在a项目webapp目录下新建img/timg.jpg。a、b添加index.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>www.a.com</title>
</head>
<body>
<img src="img/timg.jpg" alt="">
</body>
</html>

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>www.b.com</title>
</head>
<body>
<img src="http://www.a.com/a/img/timg.jpg" alt="">
</body>
</html>

4、打开F12开发者工具，访问http://www.a.com/a/index出现以下内容，可以看到请求来源为Referer:http://www.a.com/a/index

同理访问http://www.b.com/b/index出现以下内容，可以看到请求来源为Referer:http://www.b.com/b/index

表明b网站盗用了a网站的图片。而这里要解决的就是禁止b盗用a网站的资源（图片、视频等）。

思路：1、a项目中写一个过滤器。2、过滤器获取请求头中的来源字段（也就是Referer）。3、判断请求头中来源资源字段是否可以获取该资源即可（有的是白名单“比如腾讯视频、腾讯主页必须能共享嘛是吧”以内的、也有的是请求路径与来源路径是否一致）。

代码实现：

添加过滤器:

ImgFilter.java

package com.itboy.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


public class ImgFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("初始化过滤器ImgFilter");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("处理过滤器。。");
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        HttpServletResponse response= (HttpServletResponse) servletResponse;
        //获取请求服务器名称
        String serverName = request.getServerName();
        System.out.println("请求服务器："+serverName);
        //获取请求来源
        String referer = request.getHeader("Referer");
        System.out.println("请求来源:"+referer);
        //如果没有请求来源（就是直接访问该资源）、其他来源
        if(referer==null||!referer.contains(serverName)){
            request.getRequestDispatcher("/img/error.png").forward(request,response);
            return;
        }
        //放行
        filterChain.doFilter(request,response);
    }

    @Override
    public void destroy() {

    }
}

web.xml添加以下内容，表示img目录下的资源访问都应该走该过滤器。

    <filter>
        <filter-name>ImgFilter</filter-name>
        <filter-class>com.itboy.filter.ImgFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>ImgFilter</filter-name>
        <url-pattern>/img/*</url-pattern>
    </filter-mapping>

此时访问http://www.a.com/a/index正常，而http://www.b.com/b/index出现以下内容（最好在不同浏览器访问，如果是同一个请清理缓存再访问，这里又可以用上述的时间戳实现），说明成功实现。。

1.5 重定向

重定向：属于客户端行为，地址会发生改变，实际上发生了两次请求，不能缓存请求信息（也就是第一次请求的参数到第二个就不能用了）

转发：服务端行为，地址不会发生改变，可以缓存请求信息。

代码实现重定向（其实就是更改了响应头和响应码），a项目中添加以下代码，然后访问http://www.a.com/a/index

@WebServlet("/index2")
public class IndexServlet2 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        resp.setStatus(302);
        resp.setHeader("Location","http://www.b.com/b/index");

    }
}

出现以下内容，成功。

1.6 https

与http区别？

　1、https 协议需要到 ca 申请证书，一般免费证书较少，因而需要一定费用。

　2、http 是超文本传输协议，信息是明文传输，https 则是具有安全性的 ssl 加密传输协议。

　3、http 和 https 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。

　4、http 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 http 协议安全。

https工作原理？

我们都知道 HTTPS 能够加密信息，以免敏感信息被第三方获取，所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议。

　客户端在使用 HTTPS 方式与 Web 服务器通信时有以下几个步骤，如图所示。

　　（1）客户使用 https 的 URL 访问 Web 服务器，要求与 Web 服务器建立 SSL 连接。

　　（2）Web 服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

　　（3）客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级，也就是信息加密的等级。

　　（4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。

　　（5）Web 服务器利用自己的私钥解密出会话密钥。

　　（6）Web 服务器利用会话密钥加密与客户端之间的通信。

https优缺点？

　虽然说 HTTPS 有很大的优势，但其相对来说，还是存在不足之处的：

　　（1）HTTPS 协议握手阶段比较费时，会使页面的加载时间延长近 50%，增加 10% 到 20% 的耗电；

　　（2）HTTPS 连接缓存不如 HTTP 高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响；

　　（3）SSL 证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。

　（4）SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名，IPv4 资源不可能支撑这个消耗。

　　（5）HTTPS 协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL 证书的信用链体系并不安全，特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。

losemyfuture

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Http协议入门

1 什么是http协议http协议：浏览器客户端和服务器端之间数据传输的格式规范1.1 Http请求GET /hello HTTP/1.1 -请求行Host: localhost:8080 --请求头（多个key-value对象）User-Agent:Mozilla/5.0 (Linux; Android 6.0;...
复制链接

扫一扫