目录
HTTP 协议有 HTTP/1.0 版本和 HTTP/1.1 版本。HTTP1.1 默认保持长连接(HTTP persistent
3-1 Http 的长连接和短连接
HTTP 协议有 HTTP/1.0 版本和 HTTP/1.1 版本。HTTP1.1 默认保持长连接(HTTP persistent
connection,也翻译为持久连接),数据传输完成了保持 TCP 连接不断开(不发 RST 包、不四 次握手),等待在同域名下继续用这个通道传输数据;相反的就是短连接。 在 HTTP/1.0 中,默认使用的是短连接。也就是说,浏览器和服务器每进行一次 HTTP 操作,就 建立一次连接,任务结束就中断连接。从 HTTP/1.1 起,默认使用的是长连接,用以保持连接特 性
3-2 Http 常见的状态码有哪些?
200 OK //客户端请求成功
301 Moved Permanently(永久移除),请求的 URL 已移走。Response 中应该包含一个 LocationURL, 说明资源现在所处的位置
302 found 重定向
400 Bad Request //客户端请求有语法错误,不能被服务器所理解
401 Unauthorized //请求未经授权,这个状态代码必须和 WWW-Authenticate 报头域一起使用
403 Forbidden //服务器收到请求,但是拒绝提供服务
404 Not Found //请求资源不存在,eg:输入了错误的 URL
500 Internal Server Error //服务器发生不可预期的错误
503 Server Unavailable //服务器当前不能处理客户端的请求,一段时间后可能恢复正常
3-3 GET 和 POST 的区别?
从表面现像上面看 GET 和 POST 的区别:
-
-
GET 请求的数据会附在 URL 之后(就是把数据放置在 HTTP 协议头中),以?分割 URL 和传输数据,参数之间以&相连,如:login.action?name=zhagnsan&password=123456。POST 把提交的数据则放置在是 HTTP 包的包体中
-
-
-
GET 方式提交的数据最多只能是 1024 字节,理论上 POST 没有限制,可传较大量的数据。其实这样说是错误的,不准确的:“GET 方式提交的数据最多只能是 1024 字节",因为 GET 是通过 URL 提交数据,那么 GET 可提交的数据量就跟 URL 的长度有直接关系了。而实际上,URL 不存在参数上限的问题,HTTP协议规范没有对 URL 长度进行限制。这个限制是特定的浏览器及服务器对它的限制。IE 对 URL长度的限制是 2083 字节(2K+35)。对于其他浏览器,如 Netscape、FireFox 等,理论上没有长度限制,其限制取决于操作系统的支持
-
-
3.POST 的安全性要比 GET 的安全性高。注意:这里所说的安全性和上面 GET 提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改,而这里安全的含义是真正的 Security的含义,比如:通过 GET 提交数据,用户名和密码将明文出现在 URL 上,因为(1)登录页面有可能被浏览器缓存,(2)其他人查看浏览器的历史纪录,那么别人就可以拿到你的账号和密码了,除此之外,使用 GET 提交数据还可能会造成 Cross-site request forgery 攻击。Get 是向服务器发索取数据的一种请求,而 Post 是向服务器提交数据的一种请求,在 FORM(表单)中,Method 默认为"GET",实质上,GET 和 POST 只是发送机制不同,并不是一个取一个发!
3-4 Http 中重定向和请求转发的区别?
本质区别:转发是服务器行为,重定向是客户端行为;重定向特点:两次请求 ,浏览器地址发生变化,可以访问自己web之外的资源,传输的数据会丢失;请求转发特点:一次请求,浏览器地址不会,访问的是自己本身的web资源,传输的数据不会丢失
3-5 Http 与 Https 协议的区别
概述
-
HTTP 协议传输的数据都是未加密的,也就是明文的,因此使用 HTTP 协议传输隐私信息非常不 安全,为了保证这些隐私数据能加密传输,于是网景公司设计了 SSL(Secure Sockets Layer) 协议用于对 HTTP 协议传输的数据进行加密,从而就诞生了 HTTPS。 简单来说,HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要 比 http 协议安全
HTTPS 和 HTTP 的区别主要如下
-
1、https 协议需要到 ca 申请证书,一般免费证书较少,因而需要一定费用。
-
2、http 是超文本传输协议,信息是明文传输,https 则是具有安全性的 ssl 加密传输协议。
-
3、http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。身份认证的网络协议,比 http 协议安全。
HTTPS 的工作原理
-
概述
-
我们都知道 HTTPS 能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议
-
-
1、客户端发起 HTTPS 请求
-
这个没什么好说的,就是用户在浏览器里输入一个 https 网址,然后连接到 server 的 443 端口。
-
-
2、服务端的配置
-
采用 HTTPS 协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl 就是个不错的选择,有 1 年的免费服务)。 这套证书其实就是一对公钥和私钥,如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
-
-
3、传送证书
-
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
-
-
4、客户端解析证书
-
这部分工作是有客户端的 TLS 来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间 等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。 如果证书没有问题,那么就生成一个随机值,然后用证书对该随机值进行加密,就好像上面说的, 把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容
-
-
5、传送加密信息
-
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务 端的通信就可以通过这个随机值来进行加密解密了。
-
-
6、服务段解密信息
-
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密, 所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取 内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就 够安全
-
-
7、传输加密后的信息
-
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原
-
-
8、客户端解密信息
-
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容,整个过程第三方 即使监听到了数据,也束手无策
-
HTTPS 的优点
-
正是由于 HTTPS 非常的安全,攻击者无法从中找到下手的地方,从站长的角度来说,HTTPS 的 优点有以下 2 点:
-
1、SEO 方面
-
谷歌曾在 2014 年 8 月份调整搜索引擎算法,并称“比起同等 HTTP 网站,采用 HTTPS 加密的网 站在搜索结果中的排名将会更高”。
-
-
2、安全性
-
尽管 HTTPS 并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式 的攻击,但 HTTPS 仍是现行架构下最安全的解决方案,主要有以下几个好处
-
(1)、使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
-
(2)、HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 http 协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
-
(3)、HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻 击的成本。
-
-
-
HTTPS 的缺点
-
虽然说 HTTPS 有很大的优势,但其相对来说,还是有些不足之处的,具体来说,有以下 2 点:
-
1、SEO 方面
-
据 ACM CoNEXT 数据显示,使用 HTTPS 协议会使页面的加载时间延长近 50%,增加 10%到 20%的耗电,此外,HTTPS 协议还会影响缓存,增加数据开销和功耗,甚至已有安全措施也会 受到影响也会因此而受到影响。 而且 HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎 起不到什么作用。 最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下, 中间人攻击一样可行
-
-
2、经济方面
-
(1)、SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
-
(2)、SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个 消耗(SSL 有扩展可以部分解决这个问题,但是比较麻烦,而且要求浏览器、操作系统支持, Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性几乎没用)
-
(3)、HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采用,流量成本太高。
-
(4)、HTTPS 连接服务器端资源占用高很多,支持访客稍多的网站需要投入更大的成本,如果 全部采用 HTTPS,基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。
-
(5)、HTTPS 协议握手阶段比较费时,对网站的相应速度有负面影响,如非必要,没有理由牺 牲用户体验
-
-