浅谈 HTTP

这两天读了下《图解HTTP》,此处谨做读后感记录。 1. HTTP —— 超文本传输协议 我们所用的 Web 使用 HTTP 协议作为规范,完成从客户端到服务端等一系列运作流程,进行通信。 2. TCP/IP TCP/IP 是互联网相关的各类协议族的总称,HTTP 是它的一个子集。 TCP/IP 协议族按层次分为:应用层、传输层、网络层、数据链路层。 3. 输入Url 到页面加载完发生了什么 DNS 域名解析: 将域名解析成 IP 地址 发起TCP连接 :三次握手 (以 SYN 和 ACK 为标志) A)可以吗? B)可以,确定吗? A)确定,连接吧! 发送HTTP请求,接受HTTP响应: HTTP请求报文格式:请求方法、请求URI、协议版本、可选的请求首部字段、内容实体 HTTP响应报文格式:协议版本、状态码(数字+原因短语)、可选的响应首部字段、响应主体 断开TCP连接: 四次挥手 A)断开吧? B)好,我稍微检查一下 B)可以了,断开吧,再见 A)好的,再见 渲染:浏览器解析HTML代码,请求js,css等资源,将页面渲染出来 4. 持久连接 —— HTTP/1.1 中,所有连接默认都是持久连接 只要任意一端没有明确提出断开连接,则保持 TCP 连接状态,节省了大量 TCP 连接建立和断开的开销。 5. 使用 Cookie 的状态管理 HTTP 是无状态协议,Cookie 技术通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态。 Cookie 交互场景如下: 客户端:初次请求 服务器:生成 Cookie,记住是谁访问的,通过响应报文中 Set-Cookie 通知客户端保存 Cookie(含 Session ID) 客户端:保存 Cookie 客户端:再次请求会在请求报文中自动带入 Cookie(含 Session ID) 值 服务端:检查 Cookie(含 Session ID),对比服务器上的记录,得到之前的状态信息 6. HTTP 状态码 - 类别 描述 1xx 通知 服务器收到请求,请继续执行请求 2xx 成功 请求正常处理完毕 3xx 重定向 需要进行附加操作以完成请求 4xx 客户端错误 客户端请求出错,服务器无法处理请求 5xx 服务器错误 服务器处理请求出错 100 Continue: 服务器已收到请求的一部分,正在等待其余部分,请求者应当继续提出请求 101 Switching Protocols: 客户端请求切换协议,服务器已确认并准备切换 200 OK: 客户端发送给服务器的请求被正常处理并返回 204 No Content: 请求处理成功,但没有资源可以返回 206 Partial Content: 对资源进行一部分的请求 301 Moved Peremanently: 永久性重定向——请求的的资源被分配了新的URL,之后应使用新的URL 302 Found: 临时性重定向——请求的资源被分配了新的URL,希望本次访问使用新的URL 303 SeeOther: 请求的资源被分配了新的URL,应使用get方法定向获取请求的资源,与302功能相同,但明确表示应使用 get 进行请求 304 Not Modified: 客户端发送附带条件的请求时,服务端允许访问资源 400 Bad Request: 请求报文中存在语法错误 401 Unauthorized: 未经许可,需要通过HTTP认证 403 Forbidden: 服务器拒绝该次访问 404 Not Found: 服务器上无法找到请求的资源 500 Inter Server Error: 服务器执行请求时发生了错误 502 Bad Gateway: 充当网关或代理的服务器从远端服务器接收到了一个无效的请求 503 Server Unavailable: 服务器暂时处于超负载或正在进行停机维护,无法处理请求 504 Gateway Time-out: 充当网关或代理的服务器,未及时从远端服务器获取请求 7. 缓存 缓存 —— 代理服务器或客户端本地内保存的资源副本。利用缓存可减少对源服务器的访问,节省了通信流量和通信时间。 8. HTTP 首部字段 8.1 通用首部字段 Cache-Control ——用户操作缓存的工作机制 请求指令: no-cache:强制向源服务器再次验证 no-store:不缓存请求或响应的任何内容 max-age(必需):相应的最大 Age 值 响应指令: private:仅向特定用户返回响应 public:可向任意方提供响应的缓存 max-age(必需):相应的最大 Age 值,存在则优先处理,忽略 Expires Connection —— 控制不再转发给代理的首部字段,管理持久连接(Keep-Alive) Date —— 表明创建 HTTP 报文的日期和时间 8.2 请求首部字段 Accept—— 通知服务器,用户代理能够处理的媒体类型及媒体类型的相对优先级 Authorization—— 告知服务器用户代理的认证信息 Host—— 告知服务器请求资源所处的互联网的主机名和端口号 If-Match—— 字段与 Etag 值匹配才会执行请求 8.2 响应首部字段 Etag—— 告知客户端实体标志,将资源以字符串性质做唯一性标识 Expires—— 将资源失效日期告知客户端 Set-Cookie—— 管理客户端状态 expires:Cookie 的有效期 Secure:仅在 HTTPS 安全通信时才发送 Cookie HttpOnly:加以限制,使 Cookie 不能被 JavaScript 脚本访问,防止跨站脚本攻击(XSS)对 Cookie 的窃取 9. 确保 Web 安全的 HTTPS HTTP 的缺点: 1)通信使用明文,内容可能会被窃听 2)不验证通信方身份,可能遭遇伪装 3)无法证明报文的完整新,可能已被篡改 HTTPS —— 超文本传输安全协议:加密+证书+完整性保护 1)SSL 使用 公开密钥加密的加密处理方式,建立安全通信线路,HTTP 先和 SSL 通信,再由 SSL 和 TCP 通信 2)提供证书确认,用于进行身份确认 3)提供摘要功能 4)HTTPS 比 HTTP 慢 2~100 倍 10. 安全性问题 跨站脚本攻击(XSS)—— 通过浏览器运行非法的 HTML 标签或 JavaScript 进行的共计 跨站点请求伪造(CSRF)—— 利用已通过认证的用户权限进行操作

本文章由javascript技术分享原创和收集

发表评论 (审核通过后显示评论):