HTTP协议概述

一、HTTP概述

HTTP协议是 Hyper Text Transfer Protocol 的缩写，即超文本传输协议，这个协议详细规定了浏览器和万维网服务器之间互相通信的规则。

HTTP就是一个通信规则，这个通信规则既规定了客户端发送给服务器的内容格式，也规定了服务器发送给客户端的内容格式。我们要学习的就是这个两个格式！客户端发送给服务器的格式叫“请求协议”，服务器发送给客户端的格式叫“响应协议”。

HTTP是基于请求/响应模式的，同时，HTTP协议是一个无状态协议。何为无状态协议？比如：我们访问一个网站首页，浏览器将访问网站首页的请求发送给服务端，服务端将网站首页的内容返回给浏览器，而后这个连接就断开了。浏览器再次访问该网站的首页，则是重复上面的一个操作。HTTP协议对事物处理没有记忆能力。缺少状态则意味着：如果后续的处理需要前面的信息，它必须经过重传。那么对于需要保持HTTP协议连接状态的情况应该如何处理呢？最常见的就是使用Cookie和Session技术了。

URL格式：协议名://域名:端口/路径，例如：http://127.0.0.1:8000/blog/pay/index

二、请求协议

请求协议格式如下：

请求首行；  // 请求方式 请求路径 协议和版本，例如：GET /index.html HTTP/1.1
请求头信息；// 请求头各属性名称:属性内容，即为key:value格式，例如：Host:www.baidu.com
空行；     // 用来与请求体分隔开
请求体。   // GET没有请求体，只有POST有请求体。

浏览器发送给服务器的内容就这个格式的，如果不是这个格式服务器将无法解读！在HTTP协议中，请求有很多请求方法，其中最为常用的就是GET和POST。

1、GET请求

• HTTP协议默认的请求方法就是GET；
• GET请求没有请求体；
• GET请求的数据大小必须在1K之内；
• GET请求的请求数据会暴露在浏览器的地址栏中；

Get请求常用的操作：

• 在浏览器的地址栏中直接给出URL，那么就一定是GET请求；
• 点击页面上的超链接也一定是GET请求；
• 提交表单时，表单默认使用GET请求，但可以设置为POST；

GET请求内容如下：

GET /blog/pay/index HTTP/1.1
Host: 127.0.0.1:8000
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: csrftoken=MfzO7MZ6KgnzPvTDjhShj7WUFD4dd8uI

• GET /blog/pay/index HTTP/1.1：GET请求，请求服务器路径为 /blog/pay/index，协议为HTTP，HTTP版本为1.1；
• Host: 127.0.0.1:8000：请求的主机和端口
• Connection: keep-alive：客户端（浏览器）支持的连接方式，Keep-Alive模式（又称持久连接、连接重用），默认为3000ms；
• User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/73.0.3683.86 Safari/537.36：与浏览器和OS相关的信息。有些网站会显示用户的系统版本和浏览器版本信息，这都是通过获取User-Agent头信息而来的；
  
• Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*：告诉服务器，当前客户端可以接收的文档类型，其实这里包含了*/*，就表示什么都可以接收；
• Accept-Encoding: gzip, deflate, br：支持的压缩格式。数据在网络上传递时，可能服务器会把数据压缩后再发送；
• Accept-Language: zh-CN,zh;q=0.9：当前客户端支持的语言，可以在浏览器的工具选项中找到语言相关信息；
• Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7：客户端支持的编码；
• Cookie: csrftoken=MfzO7MZ6KgnzPvTDjhShj7WUFD4dd8uI：因为不是第一次访问这个地址，所以会在请求中把上一次服务器响应中发送过来的Cookie在请求中一并发送去过；这个Cookie的名字为csrftoken。

2、POST请求

• 数据不会出现在地址栏中；
• 数据的大小没有上限；
• 有请求体；
• 请求体中如果存在中文，会使用URL编码；

Http协议中参数的传输是"key=value"这种键值对形式的，如果要传多个参数就需要用“&”符号对键值对进行分割。如"name=value1&class=value2"，这样在服务端在收到这种字符串的时候，会用“&”分割出每一个参数，然后再用“=”来分割出参数值。

但是有这样一个问题，如果我的参数值中就包含=或&这种特殊字符的时候该怎么办？比如说“name1=value1”,其中value1的值是“va&lu=e1”字符串，那么实际在传输过程中就会变成这样“name1=va&lu=e1”。我们的本意是就只有一个键值对，但是服务端会解析成两个键值对，这样就产生了歧义。

解决上述问题的办法就是使用URL编码，URL编码只是简单的在特殊字符（包括中文）的各个字节前加上%，然后将特殊字符转换为URL编码表中对应的数字或字符,例如，我们对上述会产生歧义的字符进行URL编码后的结果：“name1=va%26lu%3De1”，这样服务端会把紧跟在“%”后的字节当成普通的字节，就是不会把它当成各个参数或键值对的分隔符（&转换成26，=转换成3D）。

POST请求内容如下：

Request Headers

POST /blog/pay/index HTTP/1.1
Host: 127.0.0.1:8000
Connection: keep-alive
Content-Length: 42
Cache-Control: max-age=0
Origin: http://127.0.0.1:8000
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://127.0.0.1:8000/blog/pay/index
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: csrftoken=MfzO7MZ6KgnzPvTDjhShj7WUFD4dd8uI

Form Data
user: aaa
pwd: 123
submit: 提交

POST请求是可以有请求体的，而GET请求不能有请求体。

• Referer: http://127.0.0.1:8000/blog/pay/index：表示请求来自哪个页面。例如你在百度上点击链接到了这里，那么Referer就为 http://www.baidu.com，如果在浏览器的地址栏中直接输入的地址，那么请求头中就没有Referer这个元素了；
• Content-Type: application/x-www-form-urlencoded：表单的数据类型，说明会使用url格式编码数据；url编码的数据都是以“%”为前缀，后面跟随两位的16进制；
• Content-Length: 42：请求体的长度，这里表示42个字节；
• Form Data下面是请求体内容；

Referer请求头是比较有用的一个请求头，它可以用来做统计工作，也可以用来做防盗链。

统计工作：
    我公司网站在百度上做了广告，但不知道在百度上做广告对我们网站的访问量是否有影响，那么可以对每个请求中的Referer进行分析，如果Referer为百度的很多，那么说明用户都是通过百度找到我们公司网站的。
防盗链：
    我公司网站上有一个下载链接，而其他网站盗链了这个地址，例如在我网站上的index.html页面中有一个链接，点击即可下载JDK1.8，但有某个人的微博中盗链了这个资源，它也有一个链接指向我们网站的JDK1.8，也就是说登录它的微博，点击链接就可以从我网站上下载JDK1.8，这导致我们网站的广告没有看，但下载的却是我网站的资源。这时可以使用Referer进行防盗链，在资源被下载之前，我们对Referer进行判断，如果请求来自本网站，那么允许下载，如果非本网站，先跳转到本网站看广告，然后再允许下载。

三、响应协议

1、响应内容

响应报文内容如下：

General
Request URL: http://127.0.0.1:8000/blog/pay/index
Request Method: POST
Status Code: 200 OK
Remote Address: 127.0.0.1:8000
Referrer Policy: no-referrer-when-downgrade
Response Headers
HTTP/1.0 200 OK
Date: Sat, 06 Apr 2019 13:42:30 GMT
Server: WSGIServer/0.2 CPython/3.6.2
Content-Type: text/html; charset=utf-8
X-Frame-Options: SAMEORIGIN

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/blog/pay/index" method="post">
    <input type="text" name="user">
    <input type="password" name="pwd">
    <input type="submit" name="submit">
</form>
</body>
</html>

• HTTP/1.1 200 OK：响应协议为HTTP1.1，状态码为200，表示请求成功，OK是对状态码的解释；
• Content-Type: text/html; charset=utf-8：响应体使用的编码为UTF-8；
  
• Server: WSGIServer/0.2 CPython/3.6.2：服务器的版本信息；
• Date: Sat, 06 Apr 2019 13:42:30 GMT：响应的时间，这可能会有8小时的时区差；
• Set-Cookie: csrftoken=MfzO7MZ6KgnzPvTDjhShj7WUFD4dd8uI; Path=/hello：响应给客户端的Cookie；

2、状态码

响应头对浏览器来说很重要，它说明了响应的真正含义。例如200表示响应成功了，302表示重定向，这说明浏览器需要再发一个新的请求。

• 200：请求成功，浏览器会把响应体内容（通常是html）显示在浏览器中；
• 404：请求的资源没有找到，说明客户端错误的请求了不存在的资源；
• 500：请求资源找到了，但服务器内部出现了错误；
• 302：重定向，当响应码为302时，表示服务器要求浏览器重新再发一个请求，服务器会发送一个响应头Location，它指定了新请求的URL地址；
• 304：告诉浏览器可以使用浏览器缓存的内容。当用户第一次请求index.html时，服务器会添加一个名为Last-Modified响应头，这个头说明了index.html的最后修改时间，浏览器会把index.html内容，以及最后响应时间缓存下来。当用户第二次请求index.html时，在请求中包含一个名为If-Modified-Since请求头，它的值就是第一次请求时服务器通过Last-Modified响应头发送给浏览器的值，即index.html最后的修改时间，If-Modified-Since请求头就是在告诉服务器，我这里浏览器缓存的index.html最后修改时间是这个,您看看现在的index.html最后修改时间是不是这个，如果还是，那么您就不用再响应这个index.html内容了，我会把缓存的内容直接显示出来。而服务器端会获取If-Modified-Since值，与index.html的当前最后修改时间比对，如果相同，服务器会发响应码304，表示index.html与浏览器上次缓存的相同，无需再次发送，浏览器可以显示自己的缓存页面，如果比对不同，那么说明index.html已经做了修改，服务器会响应200；
•  

3、其他响应头

告诉浏览器不要缓存的响应头：

• Expires: -1；
• Cache-Control: no-cache；
• Pragma: no-cache；

自动刷新响应头，浏览器会在3秒之后请求http://www.baidu.com：

• Refresh: 3;url=http://www.baidu.com

4、HTML中指定响应头

在HTMl页面中可以使用<meta http-equiv="" content="">来指定响应头，例如在index.html页面中给出<meta http-equiv="Refresh" content="3;url=http://www.baidu.com">，表示浏览器只会显示index.html页面3秒，然后自动跳转到http://www.baidu.com。