JavaWEB 篇三 Http协议

目录

3-1 Http 的长连接和短连接

HTTP 协议有 HTTP/1.0 版本和 HTTP/1.1 版本。HTTP1.1 默认保持长连接（HTTP persistent

3-2 Http 常见的状态码有哪些？

3-3 GET 和 POST 的区别？

从表面现像上面看 GET 和 POST 的区别：

3-4 Http 中重定向和请求转发的区别?

3-5 Http 与 Https 协议的区别

概述

HTTPS 和 HTTP 的区别主要如下

HTTPS 的工作原理

HTTPS 的优点

HTTPS 的缺点

---

3-1 Http 的长连接和短连接

HTTP 协议有 HTTP/1.0 版本和 HTTP/1.1 版本。HTTP1.1 默认保持长连接（HTTP persistent

connection，也翻译为持久连接），数据传输完成了保持 TCP 连接不断开（不发 RST 包、不四 次握手），等待在同域名下继续用这个通道传输数据；相反的就是短连接。 在 HTTP/1.0 中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次 HTTP 操作，就 建立一次连接，任务结束就中断连接。从 HTTP/1.1 起，默认使用的是长连接，用以保持连接特 性

3-2 Http 常见的状态码有哪些？

200 OK //客户端请求成功

301 Moved Permanently（永久移除)，请求的 URL 已移走。Response 中应该包含一个 LocationURL, 说明资源现在所处的位置

302 found 重定向

400 Bad Request //客户端请求有语法错误，不能被服务器所理解

401 Unauthorized //请求未经授权，这个状态代码必须和 WWW-Authenticate 报头域一起使用

403 Forbidden //服务器收到请求，但是拒绝提供服务

404 Not Found //请求资源不存在，eg：输入了错误的 URL

500 Internal Server Error //服务器发生不可预期的错误

503 Server Unavailable //服务器当前不能处理客户端的请求，一段时间后可能恢复正常

3-3 GET 和 POST 的区别？

从表面现像上面看 GET 和 POST 的区别：

• 1. GET 请求的数据会附在 URL 之后（就是把数据放置在 HTTP 协议头中），以?分割 URL 和传输数据，参数之间以&相连，如：login.action?name=zhagnsan&password=123456。POST 把提交的数据则放置在是 HTTP 包的包体中

• 1. GET 方式提交的数据最多只能是 1024 字节，理论上 POST 没有限制，可传较大量的数据。其实这样说是错误的，不准确的：“GET 方式提交的数据最多只能是 1024 字节"，因为 GET 是通过 URL 提交数据，那么 GET 可提交的数据量就跟 URL 的长度有直接关系了。而实际上，URL 不存在参数上限的问题，HTTP协议规范没有对 URL 长度进行限制。这个限制是特定的浏览器及服务器对它的限制。IE 对 URL长度的限制是 2083 字节(2K+35)。对于其他浏览器，如 Netscape、FireFox 等，理论上没有长度限制，其限制取决于操作系统的支持

• 3.POST 的安全性要比 GET 的安全性高。注意：这里所说的安全性和上面 GET 提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改，而这里安全的含义是真正的 Security的含义，比如：通过 GET 提交数据，用户名和密码将明文出现在 URL 上，因为(1)登录页面有可能被浏览器缓存，(2)其他人查看浏览器的历史纪录，那么别人就可以拿到你的账号和密码了，除此之外，使用 GET 提交数据还可能会造成 Cross-site request forgery 攻击。Get 是向服务器发索取数据的一种请求，而 Post 是向服务器提交数据的一种请求，在 FORM（表单）中，Method 默认为"GET"，实质上，GET 和 POST 只是发送机制不同，并不是一个取一个发！

3-4 Http 中重定向和请求转发的区别?

本质区别：转发是服务器行为，重定向是客户端行为；重定向特点：两次请求 ，浏览器地址发生变化，可以访问自己web之外的资源，传输的数据会丢失；请求转发特点：一次请求，浏览器地址不会，访问的是自己本身的web资源，传输的数据不会丢失

3-5 Http 与 Https 协议的区别

概述

• HTTP 协议传输的数据都是未加密的，也就是明文的，因此使用 HTTP 协议传输隐私信息非常不 安全，为了保证这些隐私数据能加密传输，于是网景公司设计了 SSL（Secure Sockets Layer） 协议用于对 HTTP 协议传输的数据进行加密，从而就诞生了 HTTPS。 简单来说，HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，要 比 http 协议安全

HTTPS 和 HTTP 的区别主要如下

• 1、https 协议需要到 ca 申请证书，一般免费证书较少，因而需要一定费用。

• 2、http 是超文本传输协议，信息是明文传输，https 则是具有安全性的 ssl 加密传输协议。

• 3、http 和 https 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。身份认证的网络协议，比 http 协议安全。

HTTPS 的工作原理

• 概述

  • 我们都知道 HTTPS 能够加密信息，以免敏感信息被第三方获取，所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议

• 1、客户端发起 HTTPS 请求

  • 这个没什么好说的，就是用户在浏览器里输入一个 https 网址，然后连接到 server 的 443 端口。

• 2、服务端的配置

  • 采用 HTTPS 协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请，区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面(startssl 就是个不错的选择，有 1 年的免费服务)。 这套证书其实就是一对公钥和私钥，如果对公钥和私钥不太理解，可以想象成一把钥匙和一个锁头，只是全世界只有你一个人有这把钥匙，你可以把锁头给别人，别人可以用这个锁把重要的东西锁起来，然后发给你，因为只有你一个人有这把钥匙，所以只有你才能看到被这把锁锁起来的东西。

• 3、传送证书

  • 这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。

• 4、客户端解析证书

  • 这部分工作是有客户端的 TLS 来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间 等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。 如果证书没有问题，那么就生成一个随机值，然后用证书对该随机值进行加密，就好像上面说的， 把随机值用锁头锁起来，这样除非有钥匙，不然看不到被锁住的内容

• 5、传送加密信息

  • 这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务 端的通信就可以通过这个随机值来进行加密解密了。

• 6、服务段解密信息

  • 服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密， 所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥，不然无法获取 内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍，私钥够复杂，数据就 够安全

• 7、传输加密后的信息

  • 这部分信息是服务段用私钥加密后的信息，可以在客户端被还原

• 8、客户端解密信息

  • 客户端用之前生成的私钥解密服务段传过来的信息，于是获取了解密后的内容，整个过程第三方 即使监听到了数据，也束手无策

HTTPS 的优点

• 正是由于 HTTPS 非常的安全，攻击者无法从中找到下手的地方，从站长的角度来说，HTTPS 的 优点有以下 2 点：

  • 1、SEO 方面

    • 谷歌曾在 2014 年 8 月份调整搜索引擎算法，并称“比起同等 HTTP 网站，采用 HTTPS 加密的网 站在搜索结果中的排名将会更高”。

  • 2、安全性

    • 尽管 HTTPS 并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式 的攻击，但 HTTPS 仍是现行架构下最安全的解决方案，主要有以下几个好处

      • （1）、使用 HTTPS 协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；

      • （2）、HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，要比 http 协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

      • （3）、HTTPS 是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻 击的成本。

HTTPS 的缺点

• 虽然说 HTTPS 有很大的优势，但其相对来说，还是有些不足之处的，具体来说，有以下 2 点：

  • 1、SEO 方面

    • 据 ACM CoNEXT 数据显示，使用 HTTPS 协议会使页面的加载时间延长近 50%，增加 10%到 20%的耗电，此外，HTTPS 协议还会影响缓存，增加数据开销和功耗，甚至已有安全措施也会 受到影响也会因此而受到影响。 而且 HTTPS 协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎 起不到什么作用。 最关键的，SSL 证书的信用链体系并不安全，特别是在某些国家可以控制 CA 根证书的情况下， 中间人攻击一样可行

  • 2、经济方面

    • （1）、SSL 证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。

    • （2）、SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名，IPv4 资源不可能支撑这个 消耗（SSL 有扩展可以部分解决这个问题，但是比较麻烦，而且要求浏览器、操作系统支持， Windows XP 就不支持这个扩展，考虑到 XP 的装机量，这个特性几乎没用）

    • （3）、HTTPS 连接缓存不如 HTTP 高效，大流量网站如非必要也不会采用，流量成本太高。

    • （4）、HTTPS 连接服务器端资源占用高很多，支持访客稍多的网站需要投入更大的成本，如果 全部采用 HTTPS，基于大部分计算资源闲置的假设的 VPS 的平均成本会上去。

    • （5）、HTTPS 协议握手阶段比较费时，对网站的相应速度有负面影响，如非必要，没有理由牺 牲用户体验