• Http知识总结



    原创itcats_cn 最后发布于2018-09-02 16:10:37 阅读数 386 收藏
    展开
    请求部分:
    Http请求行分析:
    Request URL: https://zhidao.baidu.com/ ------请求的url地址
    Request Method: GET ------请求方式
    Status Code: 200 OK ------响应状态码
    Remote Address: 180.149.131.245:443 ------请求的ip地址与端口号
    Referrer Policy: no-referrer-when-downgrade ------仅当发生协议降级
    如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer 信息。这个规则是现在大部分浏览器默认所采用的;
     

    Http请求头分析:
    Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 ------接受的请求类型
    Accept-Encoding: gzip, deflate, br ------压缩格式
    Accept-Language: zh-CN,zh;q=0.9 ------语言编码格式
    Connection: keep-alive ------Http1.1默认是长连接,Http1.0默认是短连接
    Cookie: BAIDUID=6F807D31BA059DA4BE0DE2416FB5838B:FG=1; BDUSS=xtYVhLb35adUhnREtFTFIwZ2ltUjNMOXRITFNNVUY3TGUwWnMwdERMdzQxNTliQVFBQUFBJCQAAAAAAAAAAAEAAAA-1LOmx9q33LXEwtyyt9Prv9MAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADhKeFs4SnhbN2; cflag=15%3A3; BIDUPSID=6F807D31BA059DA4BE0DE2416FB5838B; PSTM=1535862900; H_PS_PSSID=1463_21100_26350_22159
    Host: zhidao.baidu.com ------host名称
    Referer: http://news.baidu.com/ ------请求来源 企业用作白名单黑名单、防盗链
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
     
    HttpServletRequest对象
    //HttpServletRequest对象作用是用于获取请求数据。
    //核心的API:
    //请求行:
    request.getMethod(); //请求方式
    request.getRequetURI() //request.getRequetURL() 请求资源
    request.getProtocol() //请求http协议版本

    //请求头:
    request.getHeader("名称") //根据请求头获取请求值
    request.getHeaderNames() //获取所有的请求头名称

    //实体内容:
    request.getInputStream() //获取实体内容数据
     

    请求资源
      URL:  统一资源定位符。http://localhost:8080/mall/login.html。只能定位互联网资源。是URI的子集。

     URI: 统一资源标记符。/mall/login.html。用于标记任何资源。可以是本地文件系统,局域网的资源(//192.168.4.65/myweb/index.html),可以是互联网资源。

    什么是时间戳?
    很多网站在发布版本之前,都会在URL请求地址后面加上一个实现戳进行版本更新,使用时间戳防止浏览器缓存。

    因为一些静态资源在初次访问时候先会从服务器中获取资源(JS、图片、Css等),状态码为200。当第二次访问同样的资源时,若静态资源在本地浏览器已缓存(通过静态资源的请求地址来判断是否已缓存),返回状态码304。且第二次访问速度要比第一次快很多,因为省去了获取静态资源的时间,这是浏览器端的优化,它提高了响应速度,但也带来一些问题。当你发布新版本静态资源的时候,如你更新图片,但图片的名称与之前图片名称一致的话,浏览器不会向服务端获取图片,而是从本地缓存中得到图片。那么会导致用户无法查看到最新的图片资源。当然,可以通过清理缓存处理,更合适的做法是在静态资源后加入时间戳,那么每次发布后由于更新前后时间戳不同,最新的资源总会从服务器端获取。如<img src = "imgs/ads.png?t=2018-9-2"></img>

    防止非法链接(referer)——防盗链
    防止A网站通过非法链接,盗用B网站的资源。如B网站有一个图片资源为: www.b.com/imgs/a.png,那么通过设置防盗链后A网站不能直接访问盗用www.b.com/imgs/a.png资源。

    以上就是从b.b.com中盗用了a.a.com的资源。

    发生盗用的本质原因就是:Referer来源地址与Request URL请求地址不一致。

    解决办法——防盗链机制

    1、使用Java代码控制请求来源资源判断Referer,使用过滤器获取请求头的来源字段,判断Referer是否为a.a.com。

    2、使用nginx反向代理解决防盗链

    具体代码实现:

    package cn.itcats;

    import java.io.IOException;

    import javax.servlet.Filter;
    import javax.servlet.FilterChain;
    import javax.servlet.FilterConfig;
    import javax.servlet.ServletException;
    import javax.servlet.ServletRequest;
    import javax.servlet.ServletResponse;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;

    public class MyFilter implements Filter{
    public void init(FilterConfig filterConfig) throws ServletException {
    System.out.println("MyFilter被初始化了");
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException {
    System.out.println("------------------doFilter------------------");
    HttpServletRequest req = (HttpServletRequest) request ;
    HttpServletResponse res = (HttpServletResponse) response;
    //获取Referer
    String referer = req.getHeader("Referer");
    //获取请求的服务名称 a.a.com
    String serverName = req.getServerName();
    System.out.println("Referer:"+referer+" serverName:"+serverName);
    //referer情况为不通过网站,直接访问图片,如 a.a.com/imgs/a.png
    if(referer == null || ! referer.contains(serverName)){
    //referer不包含serverName,为盗用,显示/imgs/error.png
    req.getRequestDispatcher("error.png").forward(req, res);
    return ;
    }
    //放行
    chain.doFilter(req, res);
    }

    public void destroy() {

    }

    }
    web.xml配置filter

    <!-- 配置Filter -->
    <filter>
    <filter-name>MyFilter</filter-name>
    <filter-class>cn.itcats.MyFilter</filter-class>
    </filter>

    <filter-mapping>
    <filter-name>MyFilter</filter-name>
    <url-pattern>/imgs/*</url-pattern>
    </filter-mapping>
     

    响应部分:
    常见的响应头
    Location: http://www.itcats.cn/index.jsp   -表示重定向的地址,该头和302的状态码一起使用。

    Server:apache tomcat                                 ---表示服务器的类型

    Content-Encoding: gzip                              -- 表示服务器发送给浏览器的数据压缩类型

    Content-Length: 80                                     --表示服务器发送给浏览器的数据长度

    Content-Language: zh-cn                           --表示服务器支持的语言

    Content-Type: text/html; charset=GB2312   --表示服务器发送给浏览器的数据类型及内容编码

    Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT  --表示服务器资源的最后修改时间

    Refresh: 1;url=http://www.itcats.cn              --表示定时刷新

    Content-Disposition: attachment; filename=aaa.zip --表示告诉浏览器以下载方式打开资源(下载文件时用到)

    Transfer-Encoding: chunked

    Set-Cookie:SS=Q0=5Lb_nQ; path=/search   --表示服务器发送给浏览器的cookie信息(会话管理用到)

    Expires: -1                                                      --表示通知浏览器不进行缓存

    Cache-Control: no-cache

    Pragma: no-cache

    Connection: close/Keep-Alive           -       -表示服务器和浏览器的连接状态。close:关闭连接 keep-alive:保存连接

    状态码: 服务器处理请求的结果(状态)
    常见的状态:

    200:  表示请求处理完成并完美返回

    302:   重定向

    304:   读取本地缓存

    403: 参数错误

    404:   表示客户访问的资源找不到。

    500:   表示服务器的资源发送错误。(服务器内部错误)

    502: 正在发布
     

    常用的响应API

    //HttpServletResponse对象修改响应信息:
    //响应行:
    response.setStatus(int status) //设置状态码
    //响应头:
    response.setHeader("name","value") //设置响应头
    //实体内容:
    response.getWriter().writer(); // 发送字符实体内容
    response.getOutputStream().writer() //发送字节实体内容
     

    重定向实现原理
    重定向的API:response.sendRedirect("ToServlet");本质上可以替换成下面这两句代码:

    response.setStatus(302);
    response.setHeader("Location", "ToServlet");
    服务器设置状态码为302,且响应体中为key为"Location",浏览器通过判断状态码为302,寻找响应体中为"Location"的key,发送二次请求到ToServlet,完成重定向。本质上对服务器端进行了两次请求。

    重定向与转发的区别:
    request.getRequestDispatcher()是容器中控制权的转向,在客户端浏览器地址栏中不会显示出转向后的地址;服务器内部转发,整个过程处于同一个请求当中。
    response.sendRedirect()则是完全的跳转,浏览器将会得到跳转的地址,并重新发送请求链接。这样,从浏览器的地址栏中可以看到跳转后的链接地址。不在同一个请求。重定向,实际上客户端会向服务器端发送两个请求。
    所以转发中数据的存取可以用request作用域:request.setAttribute(), request.getAttribute(),重定向是取不到request中的数据的。只能用session。

    forward()更加高效,在可以满足需要时,尽量使用RequestDispatcher.forward()方法。

    RequestDispatcher是通过调用HttpServletRequest对象的getRequestDispatcher()方法得到的,是属于请求对象的方法。
    sendRedirect()是HttpServletResponse对象的方法,即响应对象的方法,既然调用了响应对象的方法,那就表明整个请求过程已经结束了,服务器开始向客户端返回执行的结果。

    重定向可以跨域访问,而转发是在web服务器内部进行的,不能跨域访问。
     

    Http与Https区别
        1、https 协议需要到CA (Certificate Authority)申请证书,一般免费证书较少,因而需要一定费用。

     2、http 是超文本传输协议,信息是明文传输,https 则是具有安全性的 ssl 加密传输协议。

     3、http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。

     4、http 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 http 协议安全。

    https工作原理?
    我们都知道 HTTPS 能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议。

     客户端在使用 HTTPS 方式与 Web 服务器通信时有以下几个步骤,如图所示。

      (1)客户使用 https 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。

      (2)Web 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。

      (3)客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。

      (4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。

      (5)Web 服务器利用自己的私钥解密出会话密钥。

      (6)Web 服务器利用会话密钥加密与客户端之间的通信。

     
    https优缺点?
     虽然说 HTTPS 有很大的优势,但其相对来说,还是存在不足之处的:

      (1)HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近 50%,增加 10% 到 20% 的耗电;

      (2)HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;

      (3)SSL 证书收费,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。

        (4)SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。

      (5)HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。

    http长连接与短连接
    长连接与短连接的操作过程 


    通常的短连接操作步骤是: 
    连接(三次握手)→数据传输→关闭连接(四次挥手);

    而长连接通常就是: 
    连接(三次握手)→数据传输→保持连接(心跳)→数据传输→保持连接(心跳)→……→关闭连接(四次挥手); 

    这就要求长连接在没有数据通信时,定时发送数据包(心跳),以维持连接状态,
    短连接在没有数据传输时直接关闭就行了

    长连接什么时候关闭?
    1、配置失效心跳检测时间,客户端没有继续建立连接,直接关闭。

    2、客户端主动关闭

    3、tomcat服务器配置长连接超时时间20分钟

    4、设置响应头Keep-Alive: timeout。这个值能够让一些浏览器主动关闭连接,这样服务器就不必要去关闭连接了。

    长连接和短连接的使用场景
    长连接:Http1.1默认使用长连接,一般网址都是用长连接、rpc远程调用——dubbo底层通过netty使用长连接、移动端APP消息推送等。

    短连接:调用别人的接口,使用不是特别频繁,一般使用短连接
    ————————————————
    版权声明:本文为CSDN博主「itcats_cn」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/itcats_cn/article/details/82314541

  • 相关阅读:
    Codeforces Round #113 (Div. 2) Tetrahedron(滚动DP)
    Codeforces Round #300 Quasi Binary(DP)
    Codeforces Round #119 (Div. 2) Cut Ribbon(DP)
    Codeforces Round #260 (Div. 1) Boredom(DP)
    Codeforces Round #424 (Div. 2, rated, based on VK Cup Finals) Cards Sorting(树状数组)
    Codeforces Round #424 (Div. 2, rated, based on VK Cup Finals) Office Keys(思维)
    图灵杯 E 简单的RMQ(UVA 11235)(RMQ)
    qwb与学姐 (带秩并查集)
    计蒜客 UCloud 的安全秘钥(困难)(哈希)
    第八届山东省ACM大学生程序设计竞赛个人总结
  • 原文地址:https://www.cnblogs.com/fengff/p/12576701.html
Copyright © 2020-2023  润新知