HTTP协议
HTTP协议是Hyper Text Transfer Protocol的缩写,即超文本传输协议,是应用层上使用非常广泛的一组协议,主要负则从万维网(WWW:World Wide Web)服务器传输超文本到本地浏览器,它个基于TCP/IP通信协议来传递数据。
浏览器作为客户端,通过URL向web服务器发送请求,服务器收到请求后,经过一系列的处理生成响应发送给客户端。
认识URL
URL即Uniform Resource Locator(统一资源定位符)。平时我们俗称的"网址",其实就是说的是URL。
urlencode和urldecode
像 / ? : 等这样的字符, 已经被url当做特殊意义理解了,因此这些字符不能随意出现.比如, 某个参数中需要带有这些特殊字符, 就必须先对特殊字符进行转义。
转义的规则如下:
将需要转码的字符转为16进制,然后从右到左,取4位(不足4位直接处理),每2位做一位,前面加上%,编码成%XY格式。
“+” 被转义成了 “%2B”
urldecode就是urlencode的逆过程。
HTTP协议格式
1、HTTP请求:
首行: [方法] + [url] + [版本]
HTTP的方法:
GET:获取资源
POST:传输实体主体
PUT:传输文件
HEAD:获得报文首部
DELETE:删除文件
OPTIONS:询问支持的方法
TRACE:追钟路径
CONNECT:要求用隧道协议链接代理
LINK:建立和资源之间的联系
UNLINE:断开连接关系
这么多的HTTP方法中,最常用的就是GET和POST方法。
Header: 请求的属性, 冒号分割的键值对;每组属性之间使用\n分隔;遇到空行表示Header部分结束。
常见的Header:
Content-Type: 数据类型(text/html等)
Content-Length: Body的长度
Host: 客户端告知服务器, 所请求的资源是在哪个主机的哪个端口上;
User-Agent: 声明用户的操作系统和浏览器版本信息;
referer:当前页面是从哪个页面跳转过来的;
location: 搭配3xx状态码使用, 告诉客户端接下来要去哪里访问;
Cookie:用于在客户端存储少量信息,通常用于实现会话(session)功能。
Body: 空行后面的内容都是Body. Body允许为空字符串. 如果Body存在, 则在Header中会有一个Content-Length属性来标识Body的长度。
2、HTTP响应:
首行: [版本号] + [状态码] + [状态码解释]
HTTP的状态码:
最常见的状态码, 比如 200(OK), 404(Not Found), 403(Forbidden), 302(Redirect, 重定向), 504(Bad Gateway)
Header: 请求的属性, 冒号分割的键值对;每组属性之间使用\n分隔;遇到空行表示Header部分结束。
Body: 空行后面的内容都是Body. Body允许为空字符串. 如果Body存在, 则在Header中会有一个Content-Length属性来标识Body的长度;如果服务器返回了一个html页面,那么html页面内容就是在body中。
Session和Cookie
HTTP是一个无状态的协议,就是说这一次的请求和上一次请求是没有任何关系的,互不认识的,没有关联(即使是同一个客户端发起的请求)。这种无状态的好处是快速,坏处是在需要进行用户状态保持的一些场景时(登陆状态下进行页面跳转,或者用户信息多页面共享等场景),必须使用一些方式或者手段比如:session和cookie。
Cookie:
如上所述, Http 是一个无状态的协议,但是访问有些资源的时候往往需要经过认证的账户才能访问,而且要一直保持在线状态,所以,cookie是一种在浏览器端解决的方案,将登陆认证之后的用户信息保存在本地浏览器中,后面每次发起http请求,都自动携带上该信息,就能达到认证用户,保持用户在线的作用,如图
Session:
而将用户敏感信息放到本地浏览器中,能解决一定的问题,但是又引进了新的安全问题,一旦cookie丢失,用户信息泄露,也很容易造成跨站攻击,所以有了另一种解决方法,将用户敏感信息保存至服务器,而服务器本身采用md5算法或相关算法生成唯一值(session id),将该值保存值客户端浏览器,随后,客户端的后续请求,浏览器都会自动携带该id,进而再在服务器端认证,进而达到状态保持的效果。
Cookie与Session的区别:
Cookie以文本文件格式存储在浏览器中,而session存储在服务端。
因为每次发起 Http 请求,都要携带有效Cookie信息,所以Cookie一般都有大小限制,以防止增加网络压力,一般不超过4k。
可以轻松访问cookie值但是我们无法轻松访问会话值,因此session方案更安全。