这两天读了下《图解HTTP》,此处谨做读后感记录。
1. HTTP —— 超文本传输协议
我们所用的 Web 使用 HTTP 协议作为规范,完成从客户端到服务端等一系列运作流程,进行通信。
2. TCP/IP
TCP/IP 是互联网相关的各类协议族的总称,HTTP 是它的一个子集。
TCP/IP 协议族按层次分为:应用层、传输层、网络层、数据链路层。
3. 输入Url 到页面加载完发生了什么
DNS 域名解析: 将域名解析成 IP 地址
发起TCP连接 :三次握手 (以 SYN 和 ACK 为标志)
A)可以吗? B)可以,确定吗? A)确定,连接吧!发送HTTP请求,接受HTTP响应:
HTTP请求报文格式:请求方法、请求URI、协议版本、可选的请求首部字段、内容实体
HTTP响应报文格式:协议版本、状态码(数字+原因短语)、可选的响应首部字段、响应主体断开TCP连接: 四次挥手
A)断开吧? B)好,我稍微检查一下 B)可以了,断开吧,再见 A)好的,再见渲染:浏览器解析HTML代码,请求js,css等资源,将页面渲染出来
4. 持久连接 —— HTTP/1.1 中,所有连接默认都是持久连接
只要任意一端没有明确提出断开连接,则保持 TCP 连接状态,节省了大量 TCP 连接建立和断开的开销。
5. 使用 Cookie 的状态管理
HTTP 是无状态协议,Cookie 技术通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态。
Cookie 交互场景如下:
客户端:初次请求
服务器:生成 Cookie,记住是谁访问的,通过响应报文中 Set-Cookie 通知客户端保存 Cookie(含 Session ID)
客户端:保存 Cookie
客户端:再次请求会在请求报文中自动带入 Cookie(含 Session ID) 值
服务端:检查 Cookie(含 Session ID),对比服务器上的记录,得到之前的状态信息
6. HTTP 状态码
| - | 类别 | 描述 |
|---|---|---|
| 1xx | 通知 | 服务器收到请求,请继续执行请求 |
| 2xx | 成功 | 请求正常处理完毕 |
| 3xx | 重定向 | 需要进行附加操作以完成请求 |
| 4xx | 客户端错误 | 客户端请求出错,服务器无法处理请求 |
| 5xx | 服务器错误 | 服务器处理请求出错 |
100 Continue: 服务器已收到请求的一部分,正在等待其余部分,请求者应当继续提出请求
101 Switching Protocols: 客户端请求切换协议,服务器已确认并准备切换
200 OK: 客户端发送给服务器的请求被正常处理并返回
204 No Content: 请求处理成功,但没有资源可以返回
206 Partial Content: 对资源进行一部分的请求
301 Moved Peremanently: 永久性重定向——请求的的资源被分配了新的URL,之后应使用新的URL
302 Found: 临时性重定向——请求的资源被分配了新的URL,希望本次访问使用新的URL
303 SeeOther: 请求的资源被分配了新的URL,应使用get方法定向获取请求的资源,与302功能相同,但明确表示应使用 get 进行请求
304 Not Modified: 客户端发送附带条件的请求时,服务端允许访问资源
400 Bad Request: 请求报文中存在语法错误
401 Unauthorized: 未经许可,需要通过HTTP认证
403 Forbidden: 服务器拒绝该次访问
404 Not Found: 服务器上无法找到请求的资源
500 Inter Server Error: 服务器执行请求时发生了错误
502 Bad Gateway: 充当网关或代理的服务器从远端服务器接收到了一个无效的请求
503 Server Unavailable: 服务器暂时处于超负载或正在进行停机维护,无法处理请求
504 Gateway Time-out: 充当网关或代理的服务器,未及时从远端服务器获取请求
7. 缓存
缓存 —— 代理服务器或客户端本地内保存的资源副本。利用缓存可减少对源服务器的访问,节省了通信流量和通信时间。
8. HTTP 首部字段
8.1 通用首部字段
Cache-Control ——用户操作缓存的工作机制
请求指令:
no-cache:强制向源服务器再次验证
no-store:不缓存请求或响应的任何内容
max-age(必需):相应的最大 Age 值
响应指令:
private:仅向特定用户返回响应
public:可向任意方提供响应的缓存
max-age(必需):相应的最大 Age 值,存在则优先处理,忽略 ExpiresConnection —— 控制不再转发给代理的首部字段,管理持久连接(Keep-Alive)
Date —— 表明创建 HTTP 报文的日期和时间
8.2 请求首部字段
Accept—— 通知服务器,用户代理能够处理的媒体类型及媒体类型的相对优先级
Authorization—— 告知服务器用户代理的认证信息
Host—— 告知服务器请求资源所处的互联网的主机名和端口号
If-Match—— 字段与 Etag 值匹配才会执行请求
8.2 响应首部字段
Etag—— 告知客户端实体标志,将资源以字符串性质做唯一性标识
Expires—— 将资源失效日期告知客户端
Set-Cookie—— 管理客户端状态
expires:Cookie 的有效期
Secure:仅在 HTTPS 安全通信时才发送 Cookie
HttpOnly:加以限制,使 Cookie 不能被 JavaScript 脚本访问,防止跨站脚本攻击(XSS)对 Cookie 的窃取
9. 确保 Web 安全的 HTTPS
- HTTP 的缺点:
1)通信使用明文,内容可能会被窃听
2)不验证通信方身份,可能遭遇伪装
3)无法证明报文的完整新,可能已被篡改
- HTTPS —— 超文本传输安全协议:加密+证书+完整性保护
1)SSL 使用 公开密钥加密的加密处理方式,建立安全通信线路,HTTP 先和 SSL 通信,再由 SSL 和 TCP 通信
2)提供证书确认,用于进行身份确认
3)提供摘要功能
4)HTTPS 比 HTTP 慢 2~100 倍
10. 安全性问题
跨站脚本攻击(XSS)—— 通过浏览器运行非法的 HTML 标签或 JavaScript 进行的共计
跨站点请求伪造(CSRF)—— 利用已通过认证的用户权限进行操作
