阅读时间:2019.10.30-2019.11.6
阅读心得:
从知乎上看到有人推荐这本书,本身对计算机网络方面学习的比较少,于是就买来这本书开始看。这本书总体看下来比较轻松,因为书中的插画非常卡通,而且因为整本书都是在围绕HTTP进行讲解,所以内容上不会设计太多其他深奥的知识。读完之后,我对HTTP有了一个基本的认识,从以前只知道它是一个协议,到现在能够搞清楚这个协议内部的结构、返回的状态码等等,这都得益于这本小巧但又细致的书。也希望感兴趣的伙伴可以去读一读这本书呀!
阅读总结:
【这本书一共有十一章,每一章都根据侧重点的不同展开介绍。在这里我将本书的章节框架展开,并根据自己读完的理解给每个部分做个小结,也方便自己日后复习。】
第一章:了解Web即网络基础
- 1.1 使用HTTP协议访问Web(什么是HTTP?什么是客户端、服务器端?)
- 1.2 HTTP的诞生(诞生原因:知识共享;WWW(即Web)构建技术:HTML、HTTP、URL)
- 1.3 网络基础TCP/IP
(HTTP是TCP/IP内部的一个子集;TCP/IP的传输流?发送端从应用层往下走,每通过一层增加首部,接收端从链路层往上走,每通过一层删除首部)
TCP/IP分层如下表所示:
应用层 | 各类应用服务,比如FTP(文件传输协议)、DNS(域名系统) |
传输层 | 将计算机之间的数据进行分割、传输;TCP(传输控制协议)、UDP(用户数据报协议) |
网络层 | 处理在网络上流动的数据包,在众多的选项内选择一条传输路线;数据包是网络传输的最小数据单位 |
链路层 | 处理连接网络的硬件部分,包括控制操作系统、硬件的设备驱动、NIC(网络适配器,即网卡)、光纤等物理可见部分 |
- 1.4 与HTTP关系密切的协议:IPTCP和DNS
(IP网际协议:网络层;IP地址可变换,MAC地址基本不会变;ARP协议:根据IP地址反查MAC地址;IP间的通信依赖MAC地址来搜索下一个中转目标)
(TCP协议:传输层;字节流服务:大数据分割成报文段单位的数据包;三次握手:SYN标志、SYN/ACK标志、ACK标志)
(DNS服务:应用层(HTTP协议也在应用层);域名与IP地址之间(双向查找)的解析服务)
- 1.5 负责域名解析的DNS服务(见上1.4)
- 1.6 各种协议与HTTP协议的关系
(客户端输入网址,DNS解析对应的IP地址,HTTP生成请求报文,TCP分割成报文段,IP边中转边发送,TCP接收报文段并重组,HTTP处理请求内容)
- 1.7 URI和URL
(URI:统一资源标识符,URL:统一资源定位符,URL是URI的子集)
绝对URI的格式:
http:// | user:pass@ | www.example.jp: | 80 | /dir/index.htm? | uid=1# | ch1 |
协议方案名 | 登录信息(认证) | 服务器地址 | 服务器端口号 | 带层次的文件路径 | 查询字符串 | 片段标识符 |
第二章:简单的HTTP协议
- 2.1 HTTP协议用于客户端和服务器端之间的通信(客户端?服务器端?)
- 2.2 通过请求和响应的交换达成通信(请求报文和响应报文的组成?)
- 2.3 HTTP是不保存状态的协议(发送过的请求和响应都不保存状态--引进了Cookie技术来保持状态)
- 2.4 请求URI定位资源(如果对服务器本身发起请求,可用一个*来代替请求URI)
- 2.5 告知服务器意图的HTTP方法
GET | 获取资源 |
POST | 传输实体主体 |
PUT | 传输文件 |
HEAD | 获得报文首部 |
DELETE | 删除文件 |
OPTIONS | 询问支持的方法 |
TRACE | 追踪路径 |
CONNECT | 要求用隧道协议连接代理 |
- 2.6 使用方法下达命令(见上2.5)
- 2.7 持久连接节省通信量(持久连接:任意一端没有明确提出断开连接,则保持TCP连接状态;管线化:不用等待响应亦可直接发送下一个请求)
- 2.8 使用Cookie的状态管理(请求报文(没有Cookie信息的状态)--响应报文(服务器端生成Cookie信息)--请求报文(自动发送保存着的Cookie信息))
第三章:HTTP报文内的HTTP信息
- 3.1 HTTP报文(报文首部+空行+报文主体)
- 3.2 请求报文及响应报文的结构
( 请求报文的结构:请求行+请求首部字段+通用首部字段+实体首部字段+其他;响应报文的结构:请求行+请求首部字段+通用首部字段+实体首部字段+其他)
请求行 | 方法、请求URI、HTTP版本 |
状态行 | 状态码、原因状语、HTTP版本 |
首部字段 | 请求首部、响应首部、通用首部、实体首部 |
其他 | HTTP的RFC里未定义的首部(Cookie等) |
- 3.3 编码提升传输速率
(什么是报文?HTTP通信的基本单位,由8位组字节流组成;什么是实体?请求或响应的有效载荷数据;压缩传输的内容编码;分割发送的分块传输编码)
- 3.4 发送多种数据的多部分对象集合(多部分对象集合(Multipart))
- 3.5 获取部分内容的范围请求(首部字段Range指定资源的byte范围)
- 3.6 内容协商返回最合适的内容(服务器驱动协商,客户端驱动协商,透明协商)
第四章:返回结构的HTTP状态码
- 4.1 状态码告知从服务器端返回的请求结果
类别 | 原因状语 | |
1XX | Informational(信息性状态码) | 接受的请求正在处理 |
2XX | Success(成功状态码) | 请求正常处理完毕 |
3XX | Redirection(重定向状态码) | 需要进行附加操作以完成请求 |
4XX | Client Error(客户端错误状态码) | 服务器无法处理请求 |
5XX | Server Error(服务器端错误状态码) | 服务器处理请求错误 |
- 4.2 2XX成功(200 OK--请求成功;204 No Content--没有资源可返回;206 Partial Content--范围请求)
- 4.3 3XX重定向
(301 Moverd Permanently--永久性重定向;302 Found--临时性重定向;303 See Other--使用GET方法获取资源的另一个URI;
304 Not modified--资源已找到,但未符合条件请求;307 Temporary Redirect--临时重定向,与302类似)
- 4.4 4XX客户端错误
(400 Bad Request--请求报文语法错误;401 Unauthorized--请求需要认证;403 Forbidden--未获得访问授权;404 Not Found--服务器上没有请求的资源)
- 4.5 5XX服务器错误
(500 Internal Server Error--服务器端在执行请求时发生了错误;503 Service Unavailable--服务器处于超负载或者正在停机维护)
第五章:与HTTP协作的Web服务器
- 5.1 用单台虚拟主机实现多个域名(相同的IP地址下,虚拟主机可以寄存多个不同主机名和域名的Web网站)
- 5.2 通信数据转发程序:代理、网关、隧道
(代理:客户端和服务器端的中间人,接收请求和响应;源服务器?每次经过代理追加写入Via首部信息;缓存代理、透明代理)
(网关:对请求进行处理;通过加密提高通信的安全性)
(隧道:在相隔甚远的客户端和服务器两者之间进行中转,保持双方通信连接;通信双方断开连接时隧道结束)
- 5.3 保存资源的缓存
(缓存:代理服务器或者客户端本地磁盘内保存的资源副本)
第六章:HTTP首部
- 6.1 HTTP报文首部
- 6.2 HTTP首部字段
- 6.3 HTTP/1.1通用首部字段
首部字段名 | 说明 |
Cache-Control | 控制缓存的行为 |
Connection | 连接管理 |
Date | 创建报文的日期时间 |
Pragma | 报文指令 |
Trailer | 报文末端的首部一览 |
Transfer-Encoding | 指定报文主体的传输编码方式 |
Upgrade | 升级为其他协议 |
Via | 代理服务器的相关信息 |
Warning | 错误通知 |
- 6.4 请求首部字段
首部字段名 | 说明 |
Accept | 用户代理可处理的媒体类型 |
Accept-Charset | 优先的字符集 |
Accept-Encoding | 优先的内容编码 |
Accept-Language | 优先的语言 |
Authorization | Web认证信息 |
Expect | 期待服务器的特定行为 |
From | 用户的电子邮箱地址 |
Host | 请求资源所在服务器 |
If-Match | 比较实体标记(ETag) |
If-Modified-Since | 比较资源的更新时间 |
If-None-Match | 与If-Match相反 |
If-Range | 资源未更新时发送实体Byte的范围请求 |
If-Unmodified-Since | 与If-Modified-Since相反 |
Max-Forwards | 最大传输逐跳数 |
Proxy-Authorization | 代理服务器要求客户端的认证信息 |
Range | 实体的字节范围请求 |
Referer | 对请求中URI的原始获取方 |
TE | 传输编码的优先级 |
User-Agent | HTTP客户端程序的信息 |
- 6.5 响应首部字段
首部字段名 | 说明 |
Accept-Range | 是否接收字节范围请求 |
Age | 推算资源创建经过时间 |
ETage | 资源的匹配信息 |
Location | 令客户端重定向至指定URI |
Proxy-Authenticate | 代理服务器对客户端的认证信息 |
Retry-After | 对再次发起请求的时机要求 |
Server | HTTP服务器的安装信息 |
Vary | 代理服务器缓存的管理信息 |
WWW-Authenticate | 服务器对客户端的认证信息 |
- 6.6 实体首部字段
首部字段名 | 说明 |
Allow | 资源可支持的HTTP格式 |
Content-Encoding | 实体主体适用的编码方式 |
Content-Language | 实体主体的自然语言 |
Content-Length | 实体主体的大小(单位:字节) |
Content-Location | 替代对应资源的URI |
Content-MD5 | 实体主体的报文摘要 |
Content-Range | 实体主体的位置范围 |
Content-Type | 实体主体的媒体类型 |
Expires | 实体主体过期的日期和时间 |
Last-Modified | 资源的最后修改日期时间 |
- 6.7 为Cookie服务的首部字段
首部字段名 | 说明 | 首部类型 |
Set-Cookie | 开始状态管理所使用的Cookie信息 | 响应首部字段 |
Cookie | 服务器接收到的Cookie信息 | 请求首部字段 |
- 6.8 其他首部字段(不再列举)
第七章:确保Web安全的HTTPS
- 7.1 HTTP的缺点
(a.通信使用明文(不加密),内容可能会被窃听
b.不验证通信方的身份,有可能遭遇伪装
c.无法证明报文的完整性,有肯能已经被纂改)
- 7.2 HTTP+加密+认证+完整性保护=HTTPS
(HTTP通信接口部分用SSL和TLS协议代替即为HTTPS;公开密钥加密技术)
第八章:确认访问用户身份的认证
- 8.1 何为认证(判断访问服务器的对方)
- 8.2 BASIC认证(基本认证;用户id+密码+Base64编码处理)
- 8.3 DIGEST认证(摘要认证;响应摘要+质询码产生的计算结果)
- 8.4 SSL客户端认证(客户端证书+密码)
- 8.5 FormBase认证( 基于表单认证;按登录信息的验证结果认证)
第九章:基于HTTP的功能追加协议
- 9.1 基于HTTP的协议
- 9.2 消除HTTP瓶颈的SPDY
(HTTP瓶颈:一条连接上只能发送一个请求;请求只能从客户端开始;请求/响应首部未经压缩就发送;发送冗长的首部;可任意选择数据压缩格式)
(Ajax:只更新局部界面;Comet:服务器端有更新时载返回响应;SPDY:TCP/IP的应用层和传输层之间通过新加会话层的形式运作,通信中使用SSL)
- 9.3 使用浏览器进行全双工通信的WebSocket(推送功能、减少通信量、握手/请求、握手/响应)
- 9.4 期盼已久的HTTP/2.0(SPDY、HTTP Speed + Mobility、 Network-Friendly HTTP Upgrade)
- 9.5 Web服务器管理文件的WebDav (可对Web服务器上的内容直接进行文件复制、编辑等操作的分布式文件系统)
第十章:构建Web内容的技术
- 10.1 HTML(超文本标记语言、层叠样式表CSS)
- 10.2 动态HTML(调用客户端脚本语言JavaScript实现对HTML的Web页面的动态改造;DOM(文档对象模型)可指定预发生动态变化的HTML元素)
- 10.3 Web应用(通过Web功能提供的应用程序;CGI;Servlet:能在服务器上创建动态内容的程序,是Java语言实现的一个接口,属于Java EE的一部分)
- 10.4 数据发布的格式及语言(XML、RSS、JSON)
第十一章:Web的攻击技术
- 11.1 针对Web的攻击技术(主动攻击:直接访问Web应用,将攻击代码传入;被动攻击:例用全套策略执行攻击)
- 11.2 因输出值转义不完全引发的安全漏洞(跨站脚本攻击(XSS)、窃取用户Cookie、SQL注入攻击、OS命令注入攻击、HTTP首部注入攻击、邮件首部注入攻击)
- 11.3 因设置或设计上的缺陷引发的安全漏洞(强制浏览、不正确的错误消息处理、开放重定向)
- 11.4 因会话管理疏忽引发的安全漏洞(会话劫持、会话固定攻击、跨站点请求伪造)
- 11.5 其他安全漏洞(密码破解、点击劫持、DOS攻击(服务停止攻击/拒绝服务攻击))