一、GET POST 区别
区别一:幂等性(幂等性就是这个操作重复很多遍不会改变结果就是幂等的)
- 由于 GET 是读,POST 是写,所以 GET 是幂等的(一个数据读100遍和读一遍是一样的),POST 不是幂等的(提交钱,提交一次和100次不一样,会改变结果)。
- 由于 GET 是读,POST 是写,所以用浏览器打开网页会发送 GET 请求,想要 POST 打开网页要用 form 标签。(POST请求可以用AJAX(常用)或使用form打开新页面)
- 由于 GET 是读,POST 是写,所以 GET 打开的页面刷新是无害的,POST 打开的页面刷新需要确认(支付宝付款时刷新会有提示让你点确认怕你多打几次钱)。
- 由于 GET 是读,POST 是写,所以 GET 结果会被缓存(读一个东西,它短时间内结果可能不会变),POST 结果不会被缓存(我给你打100块钱成功了,我再给你打100块钱不能用之前的结果)。
- 由于 GET 是读,POST 是写,所以 GET 打开的页面可被书签收藏,POST 打开的不行(我收藏了,那是不是要点一下打100块钱)。
区别二:请求参数
- 通常,GET 请求参数放在 url 里,POST 请求数据放在 body(消息体)里。(POST放到url中也可以,比如数据很少,提交一个name啥的也可以,GET有消息体但是服务器不接收。所以只是一些规定而已)
- GET 比 POST 更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。(不过body也可以明文)
- GET 请求参数放在 url 里是有长度限制的,而 POST 放在 body 里没有长度限制。(url长度限制只是浏览器和服务器为了方便而做的,而不是HTTP协议规定的。POST也有长度限制,上传文件提示太大,可以配置支持最大的body只不过很难超过)
区别三:TCP packet
- GET 产生一个 TCP 数据包(只有head);POST 产生两个或以上 TCP 数据包(既有head又有body)。
根据技术规格文档,GET 和 POST 最大的区别是语义一个读一个写;但面试官一般问的是实践过程中二者的区别,就是上面一堆。
二、HTTP缓存有哪些方案?
缓存分为缓存(强缓存)和内容协商(弱缓存)。
HTTP1.1使用的方案:
最著名的头是:
Cache-Control:max-age = 3600.
只需要在一个文件的响应头写上这句话,他就会自动缓存一个小时(一个小时内如果再次访问同样的URL那么就直接不发请求)。这也是一种web性能优化,不请求即可。
比如一个网页三年没更新,你只保存了一年的缓存,那缓存海能不能用?
不知道,得去问一下,浏览器问一下这个网页,文件我保存了一年了,过期我要不要把他删掉呢?要删除的话依据是什么呢?有一种选择就是我把文件上传给网站问它能不能删除。但是很傻。
这样:你把文件的特征告诉我,比如把这个文件用MD5算一下哈希,比如说的到ABC,问网站,ABC这个文件(特征值),能不能删除,所以在请求中写一个Etag:ABC.这个Etag是服务器第一次就给我的
。第一次访问网站他会给每一个文件一个特征值,特征值记下来用于后面写上用。
所以网站会给你两个信息,一个是缓存一年,一个是特征值。一年之后你拿着特征值来问我,我告诉你这个文件能否删除。
如何问呢?
在一年之后你再访问这个缓存的JS的时候,询问我现在存的这个ABC能不能删。
If-None-Match:ABC,浏览器向服务器发的一个询问,所以就是内容协商。如果服务器返回304,就继续用如果返回200那就我给你新的。
HTTP1.0 没人用可能会问到
就是直接写时间,但是如果用户电脑时间错乱就会出问题。就直接失效了。
如果过了这个时间浏览器会给你删掉吗?
它不会给你特征值而是给你这个文件的最新更新时间。
到期后拿着这个时间去给你问要不要删除,同样是304和200.
但是精度容易出问题,比如说我一秒钟更新十次,无法区分到底是不是最新版。
如何不要之前的缓存,改一下URL就可以刷新了。
三、HTTP 和 HTTPS 的区别有哪些?
HTTPS = HTTP + SSL/TLS(安全层)
区别:
- HTTP 是明文传输的,不安全;HTTPS 是加密传输的,非常安全。
(HTTP比如说打开一个网站,输入密码,在密码传到服务器的过程中,路由器、电信服务商可以看到我的密码。加密就是过程中谁都看不到。) - HTTP 使用 80 端口,HTTPS 使用 443 端口。(因为一个端口只能提供一种服务,当然不一样,具体使用哪个端口早就规定好了)
- HTTP 较快,HTTPS 较慢。(因为加密了啊)
- HTTPS 的证书一般需要购买(但也有免费的),HTTP 不需要证书。
具体原理详见:
HTTPS原理以及握手阶段
四、三次握手和四次挥手是什么。
建立TCP连接:我们和百度服务器通信,要先找到IP(IP协议),然后建立一种通信的渠道,这个渠道叫做TCP(传输内容协议),这个通道可以传输任何内容(一般发送HTTP内容:包括请求和响应)。
比如GET发送一个TCP包/POST发送两个包,发送一个响应回来index.js。
TCP可以理解为HTTP(应用层)下面的一层东西,传输层。
所以我们如果要做HTTP的请求和响应,先要建立传输层。
如何建立呢?
A(客户端)和S(服务端),是两个独立的IP,当知道IP时,确认你可以发送TCP的内容才可以建立。
三次握手简单来说就是确认双方的意向。
A和S之间会有很多数据交流 所以需要加seq序号,
SYN(seq=x)x次想和你同步。
ACK(acknowledge)知道了seq就为x+1表示我知道你x编号对应的想要。
关闭 TCP 连接
四次挥手
我好了(finish)FIN
建立 TCP 连接时 server 与 client 会经历三次握手
浏览器向服务器发送 TCP 数据:SYN(seq=x)
服务器向浏览器发送 TCP 数据:ACK(seq=x+1) SYN(y)
浏览器向服务器发送 TCP 数据:ACK(seq=y+1)
关闭 TCP 连接时 server 与 client 会经历四次挥手
浏览器向服务器发送 TCP 数据:FIN(seq=x)
服务器向浏览器发送 TCP 数据:ACK(seq=x+1)
服务器向浏览器发送 TCP 数据:FIN(seq=y)
浏览器向服务器发送 TCP 数据:ACK(seq=y+1)
为什么 2、3 步骤不合并起来呢?
答案:2、3 中间服务器很可能还有数据要发送,不能提前发送 FIN。
建立一般是浏览器发起。
结束任一方都可以。
但是一方结束之后另一方不能立马结束,等一下才行。
SYN(synchronous)是TCP/IP建立连接时使用的握手信号。
五、 什么是同源策略和跨域
同源策略是什么?
如果两个 URL 的协议、端口和域名都完全一致的话,则这两个 URL 是同源的。
http://www.baidu.com/s
http://www.baidu.com:80/sb
/s和/sb是路径 不同路径也是同源,因为HTTP默认80端口,所以不写和写一样。HTTPS是443。
同源策略定义:
浏览器规定
如果JS运行在源A里,那么就只能获取源A的数据
不能获取源B的数据,即不允许跨域。
同源策略怎么做?
只要在浏览器里打开页面,就默认遵守同源策略。
优点
保证用户的隐私安全和数据安全。
缺点
很多时候,前端需要访问另一个域名的后端接口,会被浏览器阻止其获取响应。
比如甲站点通过 AJAX 访问乙站点的 /money 查询余额接口,请求会发出,但是响应会被浏览器屏蔽。
怎么解决缺点
使用跨域手段。
-
JSONP
- 甲站点利用 script 标签可以跨域的特性,向乙站点发送 get 请求。
- 乙站点后端改造 JS 文件的内容,将数据传进回调函数。
- 甲站点通过回调函数拿到乙站点的数据。
JSONP优点:改动小只需要改一下JS文件,
缺点在于不能认证全世界都可以访问,需要加token,JSPON只能发GET请求不支持POST
-
CORS
- 对于简单请求,乙站点(被请求的站)在响应头里添加
Access-Control-Allow-Origin: http://甲站点即可。 - 对于复杂请求,如PATCH 乙站点需要:
-
响应 OPTIONS 请求,在响应中添加如下的响应头
允许甲站点对我进行, POST, GET, OPTIONS, PATCH操作,同时允许甲站点暴露Content-TypeAccess-Control-Allow-Origin: https://甲站点 Access-Control-Allow-Methods: POST, GET, OPTIONS, PATCH Access-Control-Allow-Headers: Content-Type 响应 POST 请求,在响应中添加
Access-Control-Allow-Origin头。
-
- 如果需要附带身份信息,JS 中需要在 AJAX 里设置
xhr.withCredentials = true。这样就会把cookie带到你的请求里面。
- 对于简单请求,乙站点(被请求的站)在响应头里添加
详情参考 MDN CORS 文档。
POST form-data属于简单请求
POST JSON复杂请求
Nginx 代理 / Node.js 代理
前端 ⇒ 后端 ⇒ 另一个域名的后端
A站点访问B站点服务器,我不允许你的前端访问,我允许你的服务器访问,给你的服务器开一个白名单。所以直接访问A的服务器,服务器访问B,结果拿到再返回给A前端。A的后端配置一个Nginx转发。后端不在浏览器中没有跨域限制,就可以访问B的服务器了。
但是这么做较复杂。
日常工作中用的最对的跨域方案是CORS和Nginx反向代理
六、cookie session localStorage sessionStorage区别
- cookie VS localStorage
1、主要区别是 Cookie 会被发送到服务器,而 LocalStorage 不会
2、Cookie 一般最大 4k,LocalStorage 可以用 5Mb 甚至 10Mb(各浏览器不同)
为什么早期前端使用cookie代替localStorage,因为cookie很早就出了,ls是HTML5中才更新的。
以前遇到需求:把信息存在浏览器中,并且用户刷新数值不会变。只能说用cookie。 比如说弹出一个通知,点过之后不会再出现,就把你点的动作存到cookie中。下次刷新页面不弹。而LS是专门解决这种需求的,所以不用发到服务器且容量较大。
- LocalStorage V.S. SessionStorage
LocalStorage 一般不会自动过期(除非用户手动清除)
SessionStorage 在会话结束时过期(如关闭浏览器之后,具体由浏览器自行决定) - Cookie V.S. Session
Cookie 存在浏览器的文件里,Session 存在服务器的文件里
Session 是基于 Cookie 实现的,具体做法就是把 SessionID 存在 Cookie 里,ID对应的数据放到服务器中。
Localstorage、sessionStorage、cookie 的区别
七、HTTP/1.1 和 HTTP/2 的区别有哪些?
HTTP/2 使用了二进制传输,而且将 head 和 body 分成帧来传输;HTTP/1.1 是字符串传输。
HTTP/2 支持多路复用,HTTP/1.1 不支持。多路复用简单来说就是一个 TCP 连接从单车道(不是单行道)变成了几百个双向通行的车道。
浏览器和服务器中间有100个请求都可以使用同一个TCP连接。
以前如果有100个请求那就要开100个TCP。HTTP/2 可以压缩 head,但是 HTTP/1.1 不行。
HTTP/2 支持服务器推送,但 HTTP/1.1 不支持。(实际上没多少人用)
