HTTP面试必备知识点

hello，大家好，我是小吒，今天和大家分享一下关于计算机网络中HTTP这个知识点面试官喜欢问的一些高频问题，如果喜欢的话欢迎点赞收藏咯！

• 基本概念：

• HTTP 是超⽂文本传输协议，也就是HyperText Transfer Protocol

• 互联网早期的文本可以理解为简单的字符。

• 超文本，它就是超越了普通文本的文本，它是文字、图片、视频等的混合体，最关键有超链接，能从⼀个超文本跳转到另外⼀个超文本。

• HTTP 是⼀个在计算机世界里专门在「两点」之间「传输」文字、图片、音频、视频等「超文本」数据的「约定和规范」。

• http常见的状态码

• 1xx类状态码属于提示信息，是协议处理中的⼀种中间状态，实际用到的比较少。

• 2xx类状态码表示服务器器成功处理了客户端的请求。

  • 「200 OK」是最常见的成功状态码，表示⼀切正常。如果是非 HEAD 请求，服务器返回的响应头都会有 body 数据。
  • 「204 No Content」也是常见的成功状态码，与 200 OK 基本相同，但响应头没有 body 数据。
  • 「206 Partial Content」是应用于 HTTP 分块下载或断点续传，表示响应返回的 body 数据并不是资源的全部，而是其中的⼀部分，也是服务器处理成功的状态。

• 3xx 类状态码表示客户端请求的资源发送了变动，需要客户端用新的 URL 重新发送请求获取资源，也就是重定向。

  • 「301 Moved Permanently」表示永久重定向，说明请求的资源已经不存在了了，需改用新的 URL 再次访问。
  • 「302 Found」表示临时重定向，说明请求的资源还在，但暂时需要用另⼀个 URL 来访问。
  • 301 和 302 都会在响应头里使用字段 Location ，指明后续要跳转的 URL，浏览器会自动重定向新的URL。
  • 「304 Not Modified」不具有跳转的含义，表示资源未修改，重定向已存在的缓冲文件，也称缓存重定向，用于缓存控制。

• 4xx 类状态码表示客户端发送的报文有误，服务器无法处理，也就是错误码的含义。

  • 「400 Bad Request」表示客户端请求的报文有错误，但只是个笼统的错误。
  • 「403 Forbidden」表示服务器禁止访问资源，并不是客户端的请求出错。
  • 「404 Not Found」表示请求的资源在服务器上不存在或未找到，所以无法提供给客户端。

• 5xx 类状态码表示客户端请求报文正确，但是服务器处理时内部发生了错误，属于服务器端的错误码。

  • 「500 Internal Server Error」与 400 类型，是个笼统通⽤的错误码，服务器发生了什么错误，我们并不知道。
  • 「501 Not Implemented」表示客户端请求的功能还不支持，类似“即将开业，敬请期待”的意思。
  • 「502 Bad Gateway」通常是服务器作为网关或代理时返回的错误码，表示服务器自身工作正常，访问后端服务器发生了错误。
  • 「503 Service Unavailable」表示服务器当前很忙，暂时无法响应服务器，类似“网络服务正忙，请稍后重试”的意思。

• http 常见字段

• Host 字段

  • 客户端发送请求时，用来指定服务器的域名。
  • Host: www.A.com ，访问A网站
  • 有了 Host 字段，就可以将请求发往「同⼀台」服务器上的不同网站。

• Content-Length 字段

  • 服务器在返回数据时，会有 Content-Length 字段，表明本次回应的数据长度 。
  • Content-Length: 1000 ，这是告诉浏览器，本次服务器回应的数据长度是 1000 个字节，后面的字节就属于下一个回应了

• Connection 字段

  • Connection 字段最常用于客户端要求服务器使用 TCP 持久连接，以便其他请求复用。
  • Connection: keep-alive

• Content-Type 字段

  • 用于服务器回应时，告诉客户端，本次数据是什么格式 。
  • Content-Type: text/html; charset=utf-8 ,表明发送的是网页，而且编码是UTF-8。
  • 客户端请求的时候，可以使用 Accept 字段声明自己可以接受哪些数据格式 。
  • Accept: / 客户端声明自己可以接受任何格式的数据。

• Content-Encoding 字段

  • 说明数据的压缩方法。表示服务器返回的数据使用了什么压缩格式 。
  • Content-Encoding: gzip ,表示服务器返回的数据采用了了 gzip 方式压缩，告知客户端需要用此方式解压。
  • 客户端在请求时，⽤用 Accept-Encoding 字段说明自己可以接受哪些压缩方法 。

• GET与POST

• GET方法

  • 是请求从服务器获取资源，这个资源可以是静态的文本、页面、图片视频等。

• POST方法

  • 向 URI 指定的资源提交数据，数据就放在报文的 body 里。

• 安全和幂等的概念

  • 在 HTTP 协议里，所谓的「安全」是指请求方法不会「破坏」服务器上的资源。
  • 所谓的「幂等」，意思是多次执行相同的操作，结果都是「相同」的。
  • GET 方法就是安全且幂等的，因为它是「只读」操作，无论操作多少次服务器上的数据
    都是安全的，且每次的结果都是相同的。
  • POST 因为是「新增或提交数据」的操作，会修改服务器上的资源，所以是不安全的，且多次提交数据就会创建多个资源，所以不是幂等的。

• HTTP 特性

• 简单

  • HTTP 基本的报文格式就是 header + body ，头部信息也是 key-value 简单文本的形式， 易于理解，降低了学习和使⽤的门槛。

• 灵活和易于扩展

  • HTTP协议里的各类请求方法、 URI/URL、状态码、头字段等每个组成要求都没有被固定死，都允许开发⼈员自定义和扩充。 同时 HTTP 由于是工作在应用层（ OSI 第七层），则它下层可以随意变化。
  • HTTPS 也就是在 HTTP 与 TCP 层之间增加了了 SSL/TLS 安全传输层

• 应用广泛和跨平台

  • 互联网发展至今， HTTP 的应用范围非常的广泛，从台式机的浏览器到⼿手机上的各种 APP，从看新闻、刷贴吧到购物、理财、吃鸡， HTTP 的应用片地开花，同时天然具有跨平台的优越性。

• 不安全

  • 通信使用明文（不加密），内容可能会被窃听(窃听风险)。比如， 账号信息容易泄漏，那你号没了了。
  • 不验证通信方的身份，因此有可能遭遇伪装(冒充风险)。比如， 访问假的淘宝、拼多多，那你钱没了了。
  • 无法证明报文的完整性，所以有可能已遭篡改(篡改风险)。比如， 网页上植入垃圾广告，视觉污染。

• HTTP/1.1 的性能如何

• 长连接

  • 早期 HTTP/1.0 性能上的⼀个很⼤大的问题，那就是每发起⼀个请求，都要新建⼀次 TCP 连接（三次握手），而且是串行请求，增加了通信开销。
  • HTTP/1.1 提出了长连接的通信方式，也叫持久连接。这种方式的好处在于减少了 TCP 连接的重复建立和断开所造成的额外开销，减轻了服务器端的负载。 持久连接的特点是，只要任意⼀端没有明确提出断开连接，则保持 TCP 连接状态。

• 管道网络传输

  • 在同⼀个 TCP 连接里面，客户端可以发起多个请求，只要第⼀个请求发出去了，不必等其回来，就可以发第⼆个请求出去，可以减少整体的响应时间。

• 队头阻塞

  • 当顺序发送的请求序列中的⼀个请求因为某种原因被阻塞时，在后面排队的所有请求也⼀一同被阻塞了，会导致客户端⼀直请求不到数据，这也就是「队头阻塞」。 好比上班的路路上塞车。

• HTTP 与 HTTPS 哪些区别

• HTTP 是超文本传输协议，信息是明文传输，存在安全风险的问题。 HTTPS 则解决 HTTP 不安全的缺陷，在 TCP 和 HTTP 网络层之间加入了 SSL/TLS 安全协议，使得报文能够加密传输。

• HTTP 连接建立相对简单， TCP 三次握手之后便可进行 HTTP 的报文传输。而 HTTPS 在 TCP 三次握手之后，还需进行 SSL/TLS 的握手过程，才可进入加密报文传输。

• HTTP 的端⼝口号是 80， HTTPS 的端口号是 443。

• HTTPS 协议需要向 CA（证书权威机构）申请数字证书，来保证服务器的身份是可信的。

• 

• HTTPS 在 HTTP 与 TCP 层之间加入了 SSL/TLS 协议，可以很好的解决了http不安全的三个风险

• HTTPS 是如何解决上面的三个风险的

• HTTPS 采用的是对称加密和非对称加密结合的「混合加密」方式 可以保证信息的机密性，解决了窃听的风险

  • 在通信建立前采用非对称加密的方式交换「会话秘钥」，后续就不再使用非对称加密。
  • 在通信过程中全部使用对称加密的「会话秘钥」的方式加密明文数据。

• 采用「混合加密」的方式的原因

  • 对称加密只使用⼀个密钥，运算速度快，密钥必须保密，无法做到安全的密钥交换
  • 非对称加密使用两个密钥：公钥和私钥，公钥可以任意分发而私钥保密，解决了密钥交换问题但速度慢
  • 

• 摘要算法用来实现完整性，能够为数据生成独⼀无二的「指纹」，用于校验数据的完整性，解决了篡改的风险

  • 客户端在发送明文之前会通过摘要算法算出明文的「指纹」，发送的时候把「指纹 + 明⽂文」⼀同加密成密文后，发送给服务器，服务器解密后，用相同的摘要算法算出发送过来的明文，通过比较客户端携带的「指纹」和当前算出的「指纹」做比较，若「指纹」相同，说明数据是完整的。
  • 

• 通过数字证书的方式保证服务器公钥的身份，解决冒充的风险

  • 借助第三方权威机构 CA （数字证书认证机构），将服务器公钥放在数字证书（由数字证书认证机构颁发）中，只要证书是可信的，公钥就是可信的。

• HTTPS 是如何建立连接的？

• SSL/TLS 协议基本流程：

  • 客户端向服务器索要并验证服务器的公钥。
  • 双方协商生产「会话秘钥」。
  • 双方采用「会话秘钥」进行加密通信。

• SSL/TLS 协议建立的详细流程：

  1. 首先由客户端向服务器发起加密通信请求，也就是 ClientHello 请求 ，在这⼀步，客户端主要向服务器器发送以下信息：
     • 客户端支持的 SSL/TLS 协议版本，如 TLS 1.2 版本
     • 客户端生产的随机数（ Client Random ），后面用于生产「会话秘钥」。
     • 客户端支持的密码套件列表，如 RSA 加密算法
  2. 服务器收到客户端请求后，向客户端发出响应，也就是 SeverHello 。服务器回应的内容有如下内容：
     • 确认 SSL/ TLS 协议版本，如果浏览器不支持，则关闭加密通信
     • 服务器生产的随机数（ Server Random ），后面用于生产「会话秘钥」
     • 确认的密码套件列表，如 RSA 加密算法
     • 服务器的数字证书
  3. 客户端收到服务器的回应之后，首先通过浏览器或者操作系统中的 CA 公钥，确认服务器器的数字证书的真实性，如果证书没有问题，客户端会从数字证书中取出服务器的公钥，然后使用它加密报文，向服务器发送如下信息：
     • ⼀个随机数（ pre-master key ）。该随机数会被服务器公钥加密
     • 加密通信算法改变通知，表示随后的信息都将用「会话秘钥」加密通信。
     • 客户端握手结束通知，表示客户端的握手阶段已经结束。这⼀项同时把之前所有内容的发生的数据做个摘要，用来供服务端校验。
     • 上面第⼀项的随机数是整个握手阶段的第三个随机数，这样服务器和客户端就同时有三个随机数，接着就用双方协商的加密算法， 各自生成本次通信的「会话秘钥」。
  4. 服务器收到客户端的第三个随机数（ pre-master key ）之后，通过协商的加密算法，计算出本次通信的「会话秘钥」。然后向客户端发生最后的信息
     • 加密通信算法改变通知，表示随后的信息都将用「会话秘钥」加密通信。
     • 服务器握手结束通知，表示服务器的握手阶段已经结束。这⼀项同时把之前所有内容的发生的数据做个摘要，⽤来供客户端校验。
  5. 至此，整个 SSL/TLS 的握手阶段全部结束。接下来，客户端与服务器进入加密通信，就完全是使用普通的 HTTP 协议，只不过用「会话秘钥」加密内容。

• HTTP/1.1、 HTTP/2、 HTTP/3 演变

  1. HTTP/1.1 相比 HTTP/1.0 提高了什么性能？

     • 使⽤用 TCP 长连接的方式改善了了 HTTP/1.0 短连接造成的性能开销。
     • 支持管道（pipeline）网络传输，只要第⼀个请求发出去了不必等其回来，就可以发第⼆个请求出去，可以减少整体的响应时间。
     • HTTP/1.1 还是有性能瓶颈：
       • 请求 / 响应头部（Header）未经压缩就发送，首部信息越多延迟越大。
       • 每次互相发送相同的首部造成的浪费较多；
       • 服务器是按请求的顺序响应的，如果服务器响应慢，会招致客户端⼀直请求不到数据，也就是队头阻塞；
       • 没有请求优先级控制；
       • 请求只能从客户端开始，服务器器只能被动响应

  2. HTTP/2 做了什么优化？

     • 头部压缩

       • HTTP/2 会压缩头（Header）如果你同时发出多个请求，他们的头是⼀样的或是相似的，那么，协议会帮你消除重复的部分。这就是所谓的 HPACK 算法：在客户端和服务器同时维护⼀张头信息表，所有字段都会存入这个表，生成⼀个索引号，以后就不不发送同样字段了，只发送索引号，这样就提高速度了。

     • ⼆进制格式

       • HTTP/2 不不再像 HTTP/1.1 里的纯文本形式的报文，而是全面采用了二进制格式，头信息和数据体都是⼆进制，并且统称为帧（frame）： 头信息帧和数据帧。这增加了了数据传输的效率。

     • 数据流

       • HTTP/2 的数据包不是按顺序发送的，同⼀个连接里面连续的数据包，可能属于不同的回应。因此，必
         须要对数据包做标记，指出它属于哪个回应。
       • 每个请求或回应的所有数据包，称为⼀个数据流（ Stream ）。每个数据流都标记着⼀个独⼀⽆二的编
         号，其中规定客户端发出的数据流编号为奇数， 服务器发出的数据流编号为偶数
       • 客户端还可以指定数据流的优先级。优先级高的请求，服务器就先响应该请求。

     • 多路复用

       • HTTP/2 是可以在⼀个连接中并发多个请求或回应，而不用按照顺序⼀一对应。
       • 移除了 HTTP/1.1 中的串行请求，不需要排队等待，也就不会再出现「队头阻塞」问题， 降低了了延迟，大幅度提高了连接的利用率。

  3. HTTP/2 有哪些缺陷？ HTTP/3 做了了哪些优化？

     • HTTP/2 主要的问题在于，多个 HTTP 请求在复用⼀个 TCP 连接，下层的 TCP 协议是不知道有多少个HTTP 请求的。所以⼀旦发生了丢包现象，就会触发 TCP 的重传机制，这样在⼀个 TCP 连接中的所有的 HTTP 请求都必须等待这个丢了了的包被重传回来 。
       • HTTP/1.1 中的管道（ pipeline）传输中如果有⼀个请求阻塞了，那么队列后请求也统被阻塞住了了
       • HTTP/2 多个请求复用一个TCP连接，⼀旦发生丢包，就会阻塞住所有的 HTTP 请求。
     • 这都是基于 TCP 传输层的问题，所以 HTTP/3 把 HTTP 下层的 TCP 协议改成了了 UDP！
       • UDP 发生是不管顺序，也不管丢包的，所以不会出现 HTTP/1.1 的队头阻塞 和 HTTP/2 的⼀一个丢包全部重传问题。
       • 基于 UDP 的 QUIC 协议 可以实现类似 TCP 的可靠性传输 TP 下层的 TCP 协议改成了了 UDP！
       • UDP 发生是不管顺序，也不管丢包的，所以不会出现 HTTP/1.1 的队头阻塞 和 HTTP/2 的⼀一个丢包全部重传问题。
       • 基于 UDP 的 QUIC 协议 可以实现类似 TCP 的可靠性传输

结语

计算机网络的一些知识点在大厂面试中非常受面试官的青睐，所以请大家好好把握。好了，今天就分享这么多吧，知道的越多，不知道的越多，我是程序员小吒，一个专注Java编程的打工人，下期见！