web前端面试题之http篇

HTTP面试题

ps：自己最近整理的有关http的面试题，不喜勿喷，有错的请指正，谢谢！！！

1. 讲讲输入网址按下回车键这个过程进行了哪些步骤？（简单版）
   a. 域名解析
   b. 发起TCP的3次握手
   c. 建立TCP连接后发起http请求
   d. 服务器端响应http请求，浏览器得到html代码
   e. 浏览器解析html代码，并请求html代码中的资源
   f. 浏览器对页面进行渲染呈现给用户

2. http和https的区别
   答：
   (1)HTTP 的URL 以http:// 开头，而HTTPS 的URL 以https:// 开头
   (2)HTTP 是不安全的，而 HTTPS 是安全的
   (3)HTTP 标准端口是80 ，而 HTTPS 的标准端口是443
   (4)在OSI 网络模型中，HTTP工作于应用层，而HTTPS 的安全传输机制工作在传输层
   (5)HTTP 无法加密，而HTTPS 对传输的数据进行加密
   (6)HTTP无需证书，而HTTPS 需要CA机构wosign的颁发的SSL证书

3. 2.常见的http状态码
   答：
   1xx：指示信息–表示请求已接收，继续处理
   2xx：成功–表示请求已被成功接收、理解、接受
   3xx：重定向–要完成请求必须进行更进一步的操作
   4xx：客户端错误–请求有语法错误或请求无法实现
   5xx：服务器端错误–服务器未能实现合法的请求

   200：请求被正常处理
   204：请求被受理但没有资源可以返回
   206：客户端只是请求资源的一部分，服务器只对请求的部分资源执行GET方法，相应报文中通过 Content-Range指定范围的资源。
   301：永久性重定向
   302：临时重定向
   303：与302状态码有相似功能，只是它希望客户端在请求一个URI的时候，能通过GET方法重定向到另一个URI上
   304：发送附带条件的请求时，条件不满足时返回，与重定向无关
   307：临时重定向，与302类似，只是强制要求使用POST方法
   400：请求报文语法有误，服务器无法识别
   401：请求需要认证
   403：请求的对应资源禁止被访问
   404：服务器无法找到对应资源
   500：服务器内部错误
   502：错误网关
   503：服务器正忙

4. 常用的http方法有哪些？
   答：
   GET： 用于请求访问已经被URI（统一资源标识符）识别的资源，可以通过URL传参给服务器。
   POST：用于传输信息给服务器，主要功能与GET方法类似，但一般推荐使用POST方式。
   PUT： 传输文件，报文主体中包含文件内容，保存到对应URI位置。
   HEAD： 获得报文首部，与GET方法类似，只是不返回报文主体，一般用于验证URI是否有效。
   DELETE：删除文件，与PUT方法相反，删除对应URI位置的文件。
   OPTIONS：查询相应URI支持的HTTP方法。

5. http请求报文和响应报文格式
   答：
   请求报文包含三部分：
   a、请求行：包含请求方法、URI、HTTP版本信息
   b、请求首部字段
   c、请求内容实体
   响应报文包含三部分：
   a、状态行：包含HTTP版本、状态码、状态码的原因短语
   b、响应首部字段
   c、响应内容实体

6. 常见http首部字段
   答：
   a、通用首部字段（请求报文与响应报文都会使用的首部字段）
   Date：创建报文时间
   Connection：连接的管理
   Cache-Control：缓存的控制
   Transfer-Encoding：报文主体的传输编码方式
   b、请求首部字段（请求报文会使用的首部字段）
   Host：请求资源所在服务器
   Accept：可处理的媒体类型
   Accept-Charset：可接收的字符集
   Accept-Encoding：可接受的内容编码
   Accept-Language：可接受的自然语言
   c、响应首部字段（响应报文会使用的首部字段）
   Accept-Ranges：可接受的字节范围
   Location：令客户端重新定向到的URI
   Server：HTTP服务器的安装信息
   d、实体首部字段（请求报文与响应报文的的实体部分使用的首部字段）
   Allow：资源可支持的HTTP方法
   Content-Type：实体主类的类型
   Content-Encoding：实体主体适用的编码方式
   Content-Language：实体主体的自然语言
   Content-Length：实体主体的的字节数
   Content-Range：实体主体的位置范围，一般用于发出部分请求时使用

7. http1.1版本特性
   答：
   默认持久连接节省通信量，只要客户端服务端任意一端没有明确提出断开TCP连接，就一直保持连接，可以发送多次HTTP请求
   管线化，客户端可以同时发出多个HTTP请求，而不用一个个等待响应
   断点续传原理

8. 一次完成的http请求食物包含的环节
   建立起客户机和服务器连接。
   建立连接后，客户机发送一个请求给服务器。
   服务器收到请求给予响应信息。
   客户端浏览器将返回的内容解析并呈现，断开连接。

9. 网络七层模型
   答：应用层、表示层、会话层、运输层、网络层、数据链路层、物理层
   http属于应用层 tcp属于传输层

10. DNS的作用是什么？
    答：DNS的作用是解析域名

11. http的优化方案
    TCP复用：TCP连接复用是将多个客户端的HTTP请求复用到一个服务器端TCP连接上，而HTTP复用则是一个客户端的多个HTTP请求通过一个TCP连接进行处理。前者是负载均衡设备的独特功能；而后者是HTTP 1.1协议所支持的新功能，目前被大多数浏览器所支持。
    内容缓存：将经常用到的内容进行缓存起来，那么客户端就可以直接在内存中获取相应的数据了。
    压缩：将文本数据进行压缩，减少带宽
    SSL加密（SSL Acceleration）：使用SSL协议对HTTP协议进行加密，在通道内加密并加速
    TCP缓冲：通过采用TCP缓冲技术，可以提高服务器端响应时间和处理效率，减少由于通信链路问题给服务器造成的连接负担。

12. 一个页面从输入url到页面加载完成显示，这个过程做了什么？（请用流程说明）（详细版）
    a. 浏览器会开启一个线程来处理这个请求，对URL 分析判断如果是 http 协议就按照 Web 方式来处理;
    b. 调用浏览器内核中的对应方法，比如 WebView 中的 loadUrl 方法;
    c. 通过DNS解析获取网址的IP地址，设置 UA 等信息发出第二个GET请求;
    d. 进行HTTP协议会话，客户端发送报头(请求报头);
    e. 进入到web服务器上的 WebServer，如 Apache、Tomcat、Node.js 等服务器;
    f. 进入部署好的后端应用，如PHP、Java、JavaScript、Python 等，找到对应的请求处理;
    处理结束回馈报头，此处如果浏览器访问过，缓存上有对应资源，会与服务器最后修改时间对比，一致则返回304;
    g. 浏览器开始下载html文档(响应报头，状态码200)，同时使用缓存;
    h. 文档树建立，根据标记请求所需指定MIME类型的文件（比如css、js）,同时设置了cookie;
    i. 页面开始渲染DOM，JS根据DOM API操作DOM,执行事件绑定等，页面显示完成。

13. 攻击网站的方式有哪几种？如何防御？
    Xss 跨站脚本注入
    防御方法：
    a. 将cookie等敏感信息设置为httponly，禁止Javascript通过document.cookie获得
    b. 对所有的输入做严格的校验尤其是在服务器端，过滤掉任何不合法的输入，比如手机号必须是数字，通常可以采用正则表达式
    c. 净化和过滤掉不必要的html标签，比如<ifr·ame>, alt,<script>等
    d. 净化和过滤掉不必要的Javascript的事件标签，比如：onclick, onfocus等
    e. 转义单引号，双引号，尖括号等特殊字符，可以采用htmlencode编码 或者过滤掉这些特殊字符
    f. 设置浏览器的安全设置来防范典型的XSS注入
    SQL注入
    防御方法：
    a. 禁止目标网站利用动态拼接字符串的方式访问数据库
    b. 减少不必要的数据库抛出的错误信息
    c. 对数据库的操作赋予严格的权限控制
    d. 净化和过滤掉不必要的SQL保留字，比如：where, or, exec 等
    e. 转义单引号，上引号，尖括号等特殊字符，可以采用htmlencode编码 或者过滤掉这些特殊字符
    CSRF 跨站请求伪造
    防范方法：
    a. 在客户端进行cookie的hashing，并在服务端进行hash认证
    b. 提交请求是需要填写验证码
    c. 使用One-Time Tokens为不同的表单创建不同的伪随机值