• 【HTTP】HTTP协议知识点


    HTTP协议简介

      HTTP(超文本传输协议:HyperText Transfer Protocol)是互联网中最广泛使用的一种通信协议,它允许将超文本标记语言(HTML)文档从WEB服务器传送到客户端的浏览器上,HTTP协议也是做WEB开发的基础,每个WEB开发者都应该了解。我们下面先了解下HTTP协议发展的历史。

    HTTP协议发展历史

        HTTP协议由1990年提出,经过几年的发展和使用,得到了不断的完善和扩展。

        

                  HTTP协议发展时间线

        1. HTTP/0.9(1991年)

          是HTTP协议第一个协议,不过比较简单,只有一个GET命令用于获取文件,没有请求头(HEADER)。只能传输HTML格式数据,JSON,XML是不支持的。

    第一个定稿的HTTP版本

    作者:nickcau
    链接:http://www.imooc.com/article/266160
    来源:慕课网
    本文首次发布于慕课网 ,转载请注明出处,谢谢合作
    第一个定稿的HTTP版本

    作者:nickcau
    链接:http://www.imooc.com/article/266160
    来源:慕课网
    本文首次发布于慕课网 ,转载请注明出处,谢谢合作

        2. HTTP/1.0(1996年)

          相较于0.9版本非常健全了。规定了http请求由请求头,请求体,对应的还有响应头,响应体。除了GET命令,还增加了POST,HEAD等命令。

        3. HTTP/1.1(1997年)

          增加了一些功能,比如管道,持久连接connection:keep-alive,之前版本http请求在请求一次完成后就断开,不能够持久连接。有了keep-alive就可以复用之前的连接,减少因为TCP连接导致的性能损耗。这里提一点,为什么http可以同时发送多个请求,但是这个多个请求也是由上限的,如果同时请求过多,连接数增大会导致浏览器负载压力很大,同时也不一定提高性能。所以一般要有个权衡。现在浏览器都有自己的设置,比如谷歌浏览器同一个域名下同时http请求数限制在6个。火狐浏览器也是6个,如下图

        

       

      HTTP1.0存在的问题

        1)明文传输,意味着没有压缩,导致传输效率低,在早期由于传输内容少,当时完全可以用的。对于现在web2.0时代随便打开一个网页可能都会加载十几个js,css文件还有很多图片。

        2)传输方式是窜行的,就是说同时发送多个http请求,必须加载完第一个请求后才能加载第二个请求,然后以此类推,这种方式效率很低。

        3)header头部很长,需要加载很多内容。

        4)server端不能主动push(当然可以选择Websocket技术)。

        4.HTTP/2.0(2015年):

          现在几乎所有的主流浏览器都支持http2.0协议。http2.0针对之前http版本一些缺陷做出了改进,尤其是性能上的优化,主要有下面的改进:

          1)不再使用明文,而采用二进制的传输方式,头信息和数据体都是二进制,对明文进行了极大的压缩。

          2)基于上面二进制方式,http2.0有一个新的概念,叫做帧(frame)。帧是http2.0中消息传递方式最小单位。这个是借鉴了bt下载的思想,将传输内容分成块进行传输,http2.0就是通过帧的形式打包进行传输请求头,请求体等信息。

          3)HEAD 压缩。

          4)服务器推送。

          5)优先级请求。

          6)多路复用。

            7)HTTP2.0握手分2种方式,一种叫h2,一种叫h2c。h2要求必须使用TLS加密,在TLS握手期间会顺带完成HTTPS/2协议的协商,如果协商失败(比如客户端不支持或者服务端不支持),则会使用HTTPS/1继续后续通讯。h2c不使用TLS,而是多了一次基于HTTP协议的握手往返来完成向HTTP/2协议的升级一般不建议使用。

          看下HTTP2.0 与HTTP1.0性能对比

          

           上面这个网站显示两张图片,每张图片都是由几百张小图片组成,左边图片是利用HTTP1.0的技术去加载,右边是由HTTP2.0的技术加载。根据上面显示的时间可以看出HTTP2.0所需要的时间远远小于HTTP1.0的时间。这是因为HTTP1.0对于同一个域名同时最多只能建立6个连接,并且在请求完一个只会才能请求下一个。HTTP2.0通过帧的方式将传输数据打散然后在客户端重组。

        5. HTTP/3.0协议与QUIC协议

            QUIC协议:Quick UDP Internet Connections 的缩写,是一种传输层的协议,由谷歌2013年提出并发明的新传输协议。我们知道传输层主要的协议是TCP和UDP,TCP是面向连接的,在通信之前需要握手数据校验等,这样效率比较低。QUIC协议低出现就是解决减少基于TCP协议所带来的通信延迟还有其他的开销。

          QUIC协议特点:

            1. 不在面向连接,面向无连接。

            2. 基于UDP协议做了改进,兼容了UDP的效率又兼具TCP的可靠性。   

            互联网工程任务组(IETF,协作设计网络协议的行业组织)一直致力于制定标准化的QUIC版本,IETF并没有直接采用谷歌的QUIC协议,IETF提出自己开发了QUIC的方案HTTP-over-QUIC,但是和谷歌的没有本质的区别,IETF还希望开发一个使用QUIC的HTTP版本,这个就是后来的HTTP3。

          HTTP3.0最大特点就是将会从基于TCP的连接变成基于UDP的连接。

          目前HTTP3还在发展中,未来HTTP3将来的变化未来可期。

         相关文档:

         HTTP RFC文档: https://www.w3.org/Protocols/rfc2616/rfc2616.html

         HTTP2文档:  http://http2.github.io/http2-spec/    

                  https://hpbn.co/http2/#header-compression 

         SSL/TSL协议RFC文档:     https://tools.ietf.org/html/rfc5246  

    HTTP协议特点

      1. HTTP协议是应用层面向对象的协议。

        2. HTTP是无连接的,HTTP客户端发起HTTP请求,发出请求后,客户端将断开与服务器的连接并等待响应。服务器处理请求并重新建立与客户端的连接以发回响应。

        3. HTTP是无状态的,HTTP是无连接的,这是HTTP是无状态协议的直接结果。服务器和客户端仅在当前请求期间相互了解。之后他们就断开连接。所以客户端和浏览器都不能在跨网页的不同请求之间保留信息。 

     

    HTTP协议栈所在位置

    HTTP协议与TCP协议关系

      HTTP协议是构建在TCP/IP协议之上的,TCP协议对应于传输层,而HTTP协议对应于应用层当浏览器需要从服务器获取网页数据的时候,会发出一次Http请求,Http会通过TCP建立起一个到服务器的连接通道,所以TCP决定数据如何在网络中传输,而HTTP主要解决如何包装数据并通过TCP传输数据到WEB服务器上。

       

    HTTP三次握手

      http在进行客户端和服务端建立通信链路的过程中需要创建tcp connection,因为http协议是工作在应用层,不承载连接任务都是基于tcp。http在在tcp基础上去进行请求和响应。而http在创建连接时候会有三次握手。

              TCP三次握手时序图

     HTTP协议请求与响应

      一个 HTTP 请求有五个主要部分:

        1. 动作(Verb) :表明 HTTP 方法,比如 GET,POST,DELETE,PUT 等等。

        2. URI : 用来标识服务器上资源的统一资源标示符(URI)。

        3. HTTP 版本 :表明 HTTP 版本,比如 HTTP v1.1。

        4. 请求头 : 包含 HTTP 请求消息的元数据,它是键-值对形式的。比如,客户端(或者浏览器)类型,客户端支持的格式,消息体格式,缓存设置等等。  

        5. 请求体 : 消息内容或者资源表示形式。

      HTTP 响应有四个主要部分:

        1. 状态/响应码 : 表明请求资源的服务器状态。比如 404 意味着资源没有找到或者 200 意味着响应 OK。

        2. HTTP 版本 : 表明 HTTP 版本,比如 HTTP v1.1。

        3. 响应头 : 包含 HTTP 响应消息的元素数据,它是键-值对形式的。比如,内容长度,内容类型,响应日期,服务器类型等等。

        4. 响应体 : 响应消息内容或者资源表示形式。

    HTTP状态码

        HTTP状态码是用以表示网页服务器HTTP响应状态的3位数字代码。所有状态码的第一个数字代表了响应的五种状态之一。当用户试图通过HTTP或FTP协议访问一台运行主机上的内容时,Web服务器返回一个表示该请求的状态的数字代码。该状态代码记录在服务器日志中,同时也可能在 Web 浏览器或 FTP客户端显示。也就是我们打开页面发生错误时,浏览器显示的错误信息代码。状态代码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。

    HTTP协议状态码表示的意思主要分为五类,大体是:

    • 1××:保留
    • 2××:表示请求成功地接收
    • 3××:为完成请求客户需进一步细化请求
    • 4××:客户错误
    • 5××:服务器错误

          下面是一些常见的HTTP状态码

    状态码  
    解释
    500 (内部服务器错误)

    对HTTP 500错误的定义已经充分证明了这是一个最常见的HTTP错误。 一般来说,HTTP 500 错误会在服务器的程序码出错时出现,或者web服务器发生内部错误时返回的信息。

    例如,web服务器过载时将无法正确处理访问请求。

    502 (无效网关) 作为网关或者代理工作的服务器尝试执行请求时,从上游服务器接收到无效的响应。
    503 (服务不可用)

    503错误也是服务器问题,表示服务当前不可用(Service unavaiable),可能是因为当前服务器繁忙无法处理请求,比如连接数太高,cpu繁忙等。

    404 (文件未找到)

    大多数人都知道这个错误。 当用户试图访问Web服务器(通常是一个网页)上某个实际不存在的资源时,就会发生404错误。404错误可能是由无效的链接引起,也可能是URL拼

    写错误,还可能是因为虚拟主机将所请求页面移到其他地方(或删除所请求页面)。一些网站设置了自定义页面以防止坏链接所产生的不良影响。

    403 (禁止访问)

    403错误类似于401错误,不同之处在于401错误是未经授权,而403错误是禁止访问。 任何登录对403错误都不起作用。尝试访问(被禁止的)网站目录时,就会发生403错误。

    400 (错误请求) Web服务器通过返回HTTP 400错误告诉访问者,访问者用来访问网站的程序出错,或访问请求途中遭到破坏。
    401 (未经授权) 访问者试图访问受限页面但未经授权时,网站返回HTTP 401错误。错误登录尝试是导致这一错误的主因。
    301 (永久重定向) 被请求的资源已永久移动到新位置,并且将来任何对此资源的引用都应该使用本响应返回的若干个URI之一。
    302 (临时重定向) 请求的资源现在临时从不同的URI响应请求。由于这样的重定向是临时的,客户端应当继续向原有地址发送以后的请求。
    304 (Not Modified)

    请求资源没有改变,可以使用缓存的内容。在请求中附带了头部信息: If-None-MatchIf-Modified-Since

    如果是 200 OK ,响应会带有头部 Cache-Control, Content-Location, Date, ETag, Expires

    200 (请求成功) 请求已成功,请求所希望的响应头或数据体将随此响应返回。
    206 (部分内容)

    服务器已经成功处理了部分GET请求。类似于FlashGet或者迅雷这类的HTTP 下载工具,都是使用此类响应实现断点续传,或者将一个大文档分解为多个下载段同时下载。

    HTTP协议方法

      1. GET:提供资源的只读访问。

      2. POST:用于更新现有资源或者创建一个新资源。

      3. HEAD:和GET类似但是不返回响应body

      4. OPTIONS:用于获取资源上支持的操作。

      5. PUT:用于创建一个新资源。

      6. PATCH  

      7. DELETE:用于移除一个资源。  

      8. TRACE

      9. CONNECT

    Get与POST请求的区别

       GET与POST区别主要包括如下五个方面:

        1. 从功能上讲,GET一般用来从服务器上获取资源,POST一般用来更新服务器上的资源;

        2. 从REST服务角度上说,GET是幂等的,即读取同一个资源,总是得到相同的数据,而POST不是幂等的,因为每次请求对资源的改变并不是相同的;进一步地,GET不会改变服务器上的资源,而POST会对服务器资源进行改变;

        3. 从请求参数形式上看,GET请求的数据会附在URL之后,即将请求数据放置在HTTP报文的 请求头 中,以?分割URL和传输数据,参数之间以&相连。特别地,如果数据是英文字母/数字,原样发送;否则,会将其编码为 application/x-www-form-urlencoded MIME 字符串(如果是空格,转换为+,如果是中文/其他字符,则直接把字符串用BASE64加密,得出如:%E4%BD%A0%E5%A5%BD,其中%XX中的XX为该符号以16进制表示的ASCII);而POST请求会把提交的数据则放置在是HTTP请求报文的 请求体 中。

        4. 就安全性而言,POST的安全性要比GET的安全性高,因为GET请求提交的数据将明文出现在URL上,而且POST请求参数则被包装到请求体中,相对更安全。

        5. 从请求的大小看,GET请求的长度受限于浏览器或服务器对URL长度的限制,允许发送的数据量比较小,而POST请求则是没有大小限制的。

    HTTP协议安全响应头

        目的:保护用户的安全,也就是通常意义上的防止用户受到各种攻击,如XSS、CSRF。

        1.Set-Cookie:由服务器端向客户端发送 cookie。

        2. Access-Control-Allow-Origin:允许访问控制同源,实现跨域访问,它有多个CORS相关字段。

        3. Authorization :HTTP协议中的 Authorization 请求消息头含有服务器用于验证用户代理身份的凭证,通常会在服务器返回401 Unauthorized 状态码以及WWW-Authenticate 消息头之后在后续请求中发送此消息头。

        4. X-XSS-Protection:用于开启浏览器的XSS过滤功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面,以防止XSS跨站脚本攻击。

        5. Content-Security-Policy:中文名内容安全策略,主要思想是通过内容来源白名单机制,使浏览器仅渲染或执行来自这些来源的资源。允许站点管理者控制用户代理能够为某个页面获取哪些资源。

    更多http安全信息可以访问 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials

    HTTP协议中URL和URI区别

        这两个看起来很相似,不了解的话容易迷糊。看看官方的解释:

          URI (Universal Resource Identifier,统一资源标志符):一个紧凑的字符串用来标示抽象或物理资源。一个URI可以被进一步分为定位符,名字或两者都是。就是代表一个网络资源的名称(name)。

            URL(Universal Resource Locator,统一资源定位符):是URI的子集,除了可以确定一个资源,还提供了一种定位该资源的访问机制,比如资源在网络中的位置,URL就是找到URI的地址。

              URL格式: schema://host[:port]path search hash

            schema: 协议头,表示访问资源和服务的协议。例如http,ftp,mailto,file等

            host: 主机名,表示资源所在主机的完全限定域名。

            port: 端口号,表示协议所使用的TCP端口号,http协议默认端口号80,https协议默认端口号443。

            path: 路径,表示资源的目录/文件路径

        两者区别

         1. URL是URI的一种,不是所有的URI就是URL。

         2. URI代表资源的名称,它标识一个互联网资源URL代表资源的路径地址,并且可以根据这个地址去访问该资源。

           URL和URI举例

    PATH URL or URI 说明
    ftp://ftp.is.co.za/rfc/rfc1808.txt URL 提供了FTP访问机制
    http://www.ietf.org/rfc/rfc2396.txt URL 提供了HTTP访问机制
    ldap://[2001:db8::7]/c=GB?objectClass?one URL 提供了LDAP访问机制
    tel:+1-816-555-1212 URI 只是一个描述,没有提供网路访问机制
    telnet://192.0.2.16:80/ URL 提供了TELNET访问机制

         

    HTTP管道技术(Pipelining )

      一般浏览器会在收到上一个请求的响应之后,再发送下一个请求。而http管道技术就是可以将多个http请求同一批发送,这些http请求使用同一个 TCP 连接,而发送过程中客户端不需要等待服务器对前一个请求的响应。

        http无管道和有管道示意图

       

    HTTP缓存  

       HTTP换成分为两类:强制缓存,协商缓存。

       HTTP缓存相关头信息:

        1.强缓存:Pragma、Cache-Control、Expries。

        2.协商缓存:Last-Modified/If-Modified-Since、Etag/If-None-Match。

    HTTP代理

      HTTP 代理(Web 代理)其实是一种存在于网络中间的实体,可以提供各种功能,位于客户端和服务端之间,扮演「中间人」的角色,在两端之间来回传递报文。。

    Keep-Alive模式

    多路复用

    HTTP长连接和短链接

      

    SPDY协议

       SPDY(SPeeDY)是谷歌开发的基于TCP的会话层协议,SPDY的目的就是用以最小化网络延迟,提升网络速度,优化用户的网络使用体验。SPDY并不是一种用于替代HTTP的协议,而是对原有HTTP协议的增强。谷歌先对HTTP协议层进行改进,在TSL协议之上增加一个会话层,在这个会话层中去实现SPDY协议,并不影响HTTP协议本来的数据格式,目的就是扩展和加强现有HTTP的功能。

       

    HTTP协议应用-防盗链

    HTTP状态与管理Cookie与Session

       Cookie的产生就是为了解决 HTTP 协议无状态的问题。Cookie是能够让网站 Web 服务器把少量数据储存到客户端的硬盘或内存里,或是从客户端的硬盘里读取数据的一种技术。

      原理:

        服务端通过 Set-Cookie 这个响应头来向客户端中写入 Cookie 信息,而客户端读取 Set-Cookie 这个响应头中的信息存储起来,在下次请求的时候取出来,再通过 Cookie这个请求头,将 Cookie 的数据传输给服务端。

       

    HTTP与HTTPS

      由于HTTP协议本身是不够安全的,比如在我们登陆网站的时候,账号和密码经由Http协议传输到服务器上,这中间可能或有人可以截取信息,这样信息就会不安全,比如著名的中间人攻击。所以为了解决http在传输过程中不加密的问题,之后就增加了一个SSL协议,这个协议提供了数据安全和完整性,也就是负责网络连接安全。

    参考来源:

      https://mp.weixin.qq.com/s/xc8A2dKlZmPHUhFcAevPxw

  • 相关阅读:
    flash 异性窗体
    ASCⅡ 表 关键字符
    VC 中显示位图的步骤
    输出电脑的所有Mac地址
    const char* 和 char* const
    C# 生成PDF
    vc6显示行号
    纪念一下。
    MII接口全家福
    Virtex6 GTX设计总结:预加重、均衡、输出振幅的值
  • 原文地址:https://www.cnblogs.com/songgj/p/10614577.html
Copyright © 2020-2023  润新知