http请求报文格式和响应报文格式

简介

超文本传输协议(Hypertext Transfer Protocol，简称HTTP)是应用层协议。HTTP 是一种请求/响应式的协议，即一个客户端与服务器建立连接后，向服务器发送一个请求；服务器接到请求后，给予相应的响应信息

HTTP请求报文

HTTP 请求报文由请求行、请求头部、空行 和 请求包体 4 个部分组成

请求行

请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成，它们用空格分隔如：

GET /index.html HTTP/1.1

请求方法

常用的 HTTP 请求方法有 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT

这里介绍最常用的GET方法和POST方法

• GET：当客户端要从服务器中读取某个资源时，使用GET 方法。GET 方法要求服务器将URL 定位的资源放在响应报文的数据部分，回送给客户端，即向服务器请求某个资源。使用GET 方法时，请求参数和对应的值附加在 URL 后面，利用一个问号(“?”)代表URL 的结尾与请求参数的开始，传递参数长度受限制。例如，/index.jsp?id=100&op=bind
• POST：当客户端给服务器提供信息较多时可以使用POST 方法，POST 方法向服务器提交数据，比如完成表单数据的提交，将数据提交给服务器处理。GET 一般用于获取/查询资源信息，POST 会附带用户数据，一般用于更新资源信息。POST 方法将请求参数封装在HTTP 请求数据中，以名称/值的形式出现，可以传输大量数据

请求头部

请求头部由（关键字:<空格>值）对组成，每行一对，关键字和值用英文冒号“:<空格>”分隔。请求头部通知服务器有关于客户端请求的信息，典型的请求头有：

• User-Agent：产生请求的浏览器类型;
• Accept：客户端可识别的响应内容类型列表；星号 “ * ” 用于按范围将类型分组，用 “ / ” 指示可接受全部类型，用“ type/* ”指示可接受 type 类型的所有子类型
• Accept-Language：客户端可接受的自然语言
• Accept-Encoding：客户端可接受的编码压缩格式
• Accept-Charset：可接受的应答的字符集
• Host：请求的主机名，允许多个域名同处一个IP 地址，即虚拟主机
• connection：连接方式(close 或 keepalive)
• Cookie：存储于客户端扩展字段，向同一域名的服务端发送属于该域的cookie

空行

最后一个请求头之后是一个空行，发送回车符和换行符，通知服务器以下不再有请求头

请求包体

请求包体不在 GET 方法中使用，而是在POST 方法中使用。POST 方法适用于需要客户填写表单的场合。与请求包体相关的最常使用的是包体类型 Content-Type 和包体长度 Content-Length

HTTP 响应报文

HTTP 响应报文由状态行、响应头部、空行 和 响应包体 4 个部分组成

状态行

状态行由 HTTP 协议版本字段、状态码和状态码的描述文本 3 个部分组成，他们之间使用空格隔开，例如

HTTP/1.1 200 OK

状态码

状态码由三位数字组成，第一位数字表示响应的类型，常用的状态码有五大类如下所示：

• 1xx：表示服务器已接收了客户端请求，客户端可继续发送请求;
• 2xx：表示服务器已成功接收到请求并进行处理;
• 3xx：表示服务器要求客户端重定向;
• 4xx：表示客户端的请求有非法内容;
• 5xx：表示服务器未能正常处理客户端的请求而出现意外错误;

常见的状态码务必要熟悉：

• 200 OK：表示客户端请求成功;
• 400 Bad Request：表示客户端请求有语法错误，不能被服务器所理解;
• 401 Unauthonzed：表示请求未经授权，该状态代码必须与 WWW-Authenticate 报头域一起使用;
• 403 Forbidden：表示服务器收到请求，但是拒绝提供服务，通常会在响应正文中给出不提供服务的原因;
• 404 Not Found：请求的资源不存在，例如，输入了错误的URL;
• 500 Internal Server Error：表示服务器发生不可预期的错误，导致无法完成客户端的请求;
• 503 Service Unavailable：表示服务器当前不能够处理客户端的请求，在一段时间之后，服务器可能会恢复正常;

响应头部

响应头可能包括：

• Location：Location响应报头域用于重定向接受者到一个新的位置。例如：客户端所请求的页面已不存在原先的位置，为了让客户端重定向到这个页面新的位置，服务器端可以发回Location响应报头后使用重定向语句，让客户端去访问新的域名所对应的服务器上的资源。这个头通常配合302重定向状态码使用。浏览器接收到这样的响应信息后，通常会立刻访问Location头所指向的页面
• Server：Server 响应报头域包含了服务器用来处理请求的软件信息及其版本。它和 User-Agent 请求报头域是相对应的，前者发送服务器端软件的信息，后者发送客户端软件(浏览器)和操作系统的信息。服务器所使用的Web服务器名称。攻击者可以通过查看该头信息，来探测Web服务器名称。所以一般服务器端会对该头信息进行修改
• Vary：指示不可缓存的请求头列表
• Connection：连接方式;
  对于请求来说：close(告诉 WEB 服务器或者代理服务器，在完成本次请求的响应后，断开连接，不等待本次连接的后续请求了)。keepalive(告诉WEB服务器或者代理服务器，在完成本次请求的响应后，保持连接，等待本次连接的后续请求);
  对于响应来说：close(连接已经关闭); keepalive(连接保持着，在等待本次连接的后续请求); Keep-Alive：如果浏览器请求保持连接，则该头部表明希望WEB 服务器保持连接多长时间(秒);例如：Keep-Alive：300;
• WWW-Authenticate：WWW-Authenticate响应报头域必须被包含在401 (未授权的)响应消息中，这个报头域和前面讲到的Authorization 请求报头域是相关的，当客户端收到 401 响应消息，就要决定是否请求服务器对其进行验证。如果要求服务器对其进行验证，就可以发送一个包含了Authorization 报头域的请求
• Set-Cookie：向客户端设置Cookie。与Cookie请求头相互对应。Set-Cookie头是服务器向客户端设置Cookie，Cookie头是客户端向服务器传客户端已经保存的Cookie信息
• Last-Modified：服务器通过该头信息告诉浏览器，资源最后的修改时间。从而让客户端及时地更新缓存内容
• Refresh：服务器通过Refresh头信息让浏览器定时刷新，例如：Refresh: 3;url="http://www.baidu.com"表示三秒后，刷新到百度页面
• Cache-Control：指定客户端对页面的缓存策略，例如：Cache-Control: no-cache表示指定客户端不缓存该页面内容

空行

最后一个响应头部之后是一个空行，发送回车符和换行符，通知服务器以下不再有响应头部

响应包体

服务器返回给客户端的文本信息

栗子

参考文章
https://www.cnblogs.com/CodingUniversal/p/7524088.html
https://blog.csdn.net/holmofy/article/details/68492045
https://www.cnblogs.com/chenguangliang/p/6708592.html