Http协议总结

网络分层

应用层：HTTP FTP DNS POP3 IMAP4 SNMP SSH
传输层：TCP UDP PPTP RTP
网络层：IP ICMP ARP RARP RIP 
链路层：以太网，Wi-Fi
物理层：以太网物理层 调制解调器

传输层

向用户提供可靠的端到端服务
为端到端连接提供流量控制，差错控制，服务质量(Quality of Service,QoS)等管理服务
屏蔽下层数据通信的细节

应用层

为应用软件提供服务
构建于TCP/IP协议之上
屏蔽网路传输相关细节

三次握手

         ->     [SYN=1]         seq=a                   ->
clent    <-     [SYN=1 ACK=1]   ack=a+1 seq=b           <-      server
         ->     [ACK=1]         ack=b+1 seq=c           ->

原因：需要三次握手确认链接过程，规避因为网络延迟或其他环境因素导致的服务器资源浪费。

四次挥手

         ->     [FIN=1]         seq=a                   ->
clent    <-     [ACK=1]         ack=a+1 seq=b           <-
         <-     [FIN=1 ACK=1]   ack=a+1 seq=c           <-      server
         ->     [ACK=1]         ack=c+1 seq=a+1         ->

URI URL URN

URI 统一资源标志符 包含URL和URN

URL 统一资源定位器

http://username:password@host.com:port/path?query=string#hash

URN 永久统一资源定位器

Http报文格式

起始行+首部+空行+主体

跨域-CORS

产生跨域问题的原因

浏览器为了保证安全所采取的同源过滤规则。

浏览器发送跨域请求之前，它不知道自己发送的请求是否是跨域的，所以他始终会发送请求，
请求的响应会和当前域比较，相同直接处理显示，不同则会检查头部是否有 Access-Control-Allow-*，再做处理。

浏览器允许像 <link ref=""> <img src=""> <script src=""> 这些标签的跨域请求

跨域响应头部

浏览器验证跨域请求响应的相关字段

1. Access-Control-Allow-Origin
2. Access-Control-Allow-Headers
3. Access-Control-Allow-Methods
4. Access-Control-Max-Age

不需要CORS预检请求 OPTION 的跨域请求方法

1. GET
2. POST
3. HEAD

不需要CORS预检请求 OPTION 的Content-Type

1. text/plain
2. multipart/form-data
3. appliction/x-www.form-urlencoded

其他限制

缓存

缓存相关头部（单位秒）

可缓存性

public              任何浏览器和代理服务器都可以缓存。
private             只有发起请求的浏览器可以缓存。
no-cache            告诉浏览器、缓存服务器，不管本地副本是否过期，使用资源副本前，一定要到源服务器进行副本有效性校验。
no-store            不缓存，每次请求从原服务器获取资源。

到期

max-age             缓存多久过期。
s-maxage            在代理服务器上覆盖代替max-age。
max-stale           发起请求带的头部，即便缓存过期，只要时间没有超过max-stale，仍然使用过期缓存。

重新验证

must-revalidate     告诉浏览器、缓存服务器，本地副本过期前，可以使用本地副本；本地副本一旦过期，必须去源服务器进行有效性校验。
proxy-revalidate    和must-revalidate效果一致，只是用在代理服务器上。

其他

no-transform        告诉服务器不要操作数据，例如压缩、转码。

资源验证

验证过程

    |-<-<-<-|-<-<-<-<-<-|-<-<-<-<-<-|
    |       |           |           |
发送请求->本地缓存->代理服务器缓存->原服务器缓存

响应验证头部

响应中有Last-Modified，会配合下次请求带上的If-Modified-Since和If-Unmodified-Since使用。

服务器使用数据签名作为响应的Etag，会配合下次请求带上的If-Match或者If-Non-Match使用。

Cookie&Session

通过Set-Cookie设置，下次请求自动带上，键值对形式，可以设置多个。

属性

max-age&expires         设置过期时间
Secure                  只在https发送
HttpOnly                无法通过document.cookie访问

区别

1、cookie数据存放在客户的浏览器上，session数据放在服务器上。

2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。

4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

5、所以个人建议：将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中。

长连接

Connection：     keep-alive      复用http连接
Connection：     close           不复用http连接，每次都创建新连接

chrome只支持同时建立6个http连接

数据协商

请求

Accept                  希望接受的数据类型
Accept-Encoding         希望接受的数据压缩格式
Accept-Language         希望接受的数据信息语言
User-Agent              平台信息

响应

Content-Type            返回的数据类型
Content-Encoding        返回的数据压缩格式
Content-Language        返回的数据信息语言

重定向

301-永久重定向

浏览器直接修改url，除非清除浏览器缓存，否则一致生效，服务器没有控制权！

302-临时重定向

服务器返回响应告诉浏览器使用重定向后的url来发送请求，获取资源。会有两次请求发生！

相关头部

Location        <url>       重定向到<url>

补充：304-资源已验证且未改变，使用本地缓存。

如果客户端发送了一个带条件的GET 请求且该请求已被允许，而文档的内容（自上次访问以来或者根据请求的条件）并没有改变，则服务器应当返回这个304状态码。简单的表达就是：客户端已经执行了GET，但文件未变化。