美文网首页
HTTP协议学习笔记

HTTP协议学习笔记

作者: 如逆水行舟不进则退 | 来源:发表于2019-12-23 22:13 被阅读0次

熟悉HTTP/HTTPS 等网络基本知识

一 什么是协议

1.什么是协议?通信双方预先定义好的通信规范或规则

2.HTTP协议(超文本传输协议)的历史版本

HTTP / 0.9:
GET index.html

HTTP / 1.0
增加 POST
POST /index.html HTTP/1.0
If-Modified-Since 缓存相关
Authorization 身份认证
Connection 默认值close

HTTP/1.1
GET /index.html HTTP/1.1
Host 指定请求域名
Range 指定请求范围
Connection : 默认值 是 keep-alive
请求结束后,保持一段时间。默认keep-alive以便网页中嵌入的样式等继续使用连接。
Transfer-Encoding: chunked 分块传输

二 HTTP 通信交互流程

1.URL 规范
http://
username:passwd 一般不要
@www.un.org
/subdir/file.html
?var=value&var2=value2
#hash

2.HTTP工作流程 简要
1.输入域名,回车
2.解析域名,获取IP, 通过DNS
3.建立TCP连接
4.向服务器发送GET请求
5.返回内容
根据conection配置看是否断开连接。

一般是
客户端 —— 代理服务器 —— 应用服务器

三 常见的HTTP header 的含义及作用

1.fiddler 小工具 是一个http协议调试代理工具
浏览器抓包和调试工具

2.HTTP请求
①请求行
GET /dir/1.html HTTP/1.1

②请求头
通用header
请求header
实体header

③请求体

3.HTTP/1.1 规范中的8个请求方法
GET URL 规范最长是255个字符,实际支持1024字符

POST 提交大块数据 成功返回200

HEAD 检测服务器
PUT 类似post请求,目的是向服务器发送允许保存的数据 成功返回201 只能通过程序或工具发送

DELETE 删除服务器资源

TRACE 用于诊断网络

OPTIONS 查询指定资源有哪些请求方法可以使用
CONNECT 用于代理服务器和应用服务器之间
用于建立一个仅用于数据传输的隧道

4.请求头
Accept:
text/html,application/xhtml+xml,application/xml; q=0.9; /;q=0.8

浏览器接受的内容类型
参数为 Content Type
q 指定优先级[0-1] 0为不接受, 默认为1
如果不指定 / , 则其他类型优先级为0;

Accept-Charset: 浏览器接受的字符集
utf-8;q=0.66,*;0.6

Accept-Encoding:
gzip,deflate,sdch 浏览器接受的压缩格式

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
浏览器接受的语言

Authorization:发送身份验证信息的
Basic
QW….Q== 用户名和密码的basic64编码
如果响应指定的话
401 Unauthorized
浏览器就可以继续发送请求

Cookie :
version=1;skin=new

Cache-Control: 控制缓存策略
public,max-age=86400

Host:
www.xxx.com:8080
If-Match:
“aetaghash”
类似随机字符串,hash 仅在指定的值匹配
服务器已有内容的hash码,浏览器提交md5值,服务器检查该值,则进行操作。
如果匹配,则执行

If-Modified-Since:
Sun , 11 may
指定时间后,内容又被修改了,则请求git, 否则返回304

If-None-Match
“aetaghash”
如果不匹配,则执行

If-Range
“aetaghash”
Sun , 11 may
如果没有变化,则返回指定的
检查分段内容有没有变化,断点续传。如果没有变化,就发送请求的,如果变了就给全部内容

If-Unmoidified-Since:
没有变化,则给到

Range: 可以发送片段请求
bytes=0-499,1000-

Referer :
http:// xxx.com
点击页面的url,来源

Upgrade:
HTTP/2.0
客户端向服务器请求切换协议

2.0 规范已经出了,但是应用不广泛

Via:
192.168.11.22,ex.com
发送trace 请求时,追踪

X-Requested-With: XML
Ajax 请求时会用到,判断AJAX请求

X-Forwarded-For:
client1,proxy1,192.168.2.125
经常用于代理服务器转发客户端ip地址

四 常见HTTP相应状态码的含义

响应行
HTTP/1.1 200 OK

响应头
通用header, 响应header,实体header
响应体
html代码等

响应状态码:
100-199 :参考信息
200-299:成功 成功获取或成功创建
300-399: 重定向
400-499:客户端错误
500-599:服务器错误

常见码
200 ok
201 已创建 通常put请求
206 片段内容 请求range
301 已永久移动到其他位置,通常配合Location使用
SEO适用,无结尾/请求目录时也会自动产生此响应,尽量戴上斜线
302 Found 找到了
按HTTP规范,
304 Not Modified
未修改,无变动(用缓存中的吧)

400 Bad Request 请求错误
401 Unauthorized 未被授权
浏览器收到此响应会弹出一个输入用户名、密码的对话框
403 禁止访问 验证失败或重试次数过多也会导致此响应
404 Not Found
405 Method Not Allowed
访问方法不对
服务器禁止以所请求的方法访问,同时一般会通过Allow 告知允许的方法:
Allow: GET ,POST,HEAD

406 Not Acceptable
无法接受
当请求中的Accept系列header 中列出的条件无法满足时,会产生此响应

408 Request timeout
请求超时
服务器一直没遇到 connection:close 会产生此响应并关闭连接
416 Request range not satisfiable
Range请求片段无法满足
418 i m a teapot
用茶壶煮咖啡的时候

愚人节的玩笑

500 服务器错误
502 bad gateway
网管错误。代理服务器从上游服务器收到一个无效响应时,会给客户端返回此响应

503 service unavailable 服务暂不可用

如上游服务器超载或暂时停机维护等,代理服务器则返回此响应。可附带retry-after头
通常网站访问压力大时

504 gateway timeout
网关超时 代理服务器无法在限定时间内从上游服务器收到一个有效响应
通常网站访问压力大时

响应header
ETag:”ab….sertag“
跟客户端配合,检查客户端缓存是否超时
Location: 指定新的位置
Refresh: 指定重新刷新的时间和地址
Set-Cookie:服务器让客户端设置cookie
Vary 客户端浏览器保存缓存时,根据这些header 存储缓存。

五 Cookie、Session 的原理

cookie 是什么?
cookie使用来跟踪用户会话的技术.cookie本身是一小段文本信息,它存在与http协议header头域里,通过http协议来传递.
cookie 用来干什么?
http协议是一种无状态协议,客户端和服务端完成一次会话后,服务器端不知道下次连接到服务端的是不是同一个客户端,需要有个标识能告诉服务端,是哪个客户端连接上了服务端.例如登录用户,需要有个东西标识,那就在客户端保存一个cookie,下次访问的时候随http header一起发到服务端,服务端根据cookie的内容知道了这是某个用户的请求,服务端根据cookie取到该用户的信息,返回给客户端

session是什么
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。
session能干什么
cookie能做的他能做,cookie不能做的他也能做!
session是怎么工作的
用户请求login.php填写数据后提交
服务器收到提交的数据取得用户信息,将用户信息存入session,并将session_id通过cookie的形式发给客户端
客户端将session_id存入浏览器cookie文件
用户再次访问其他页面时,将有session_id的cookie通过header头发给服务端
服务端拿到session_id从session中取到用户信息并返回

问题1:session的有效期?
由php.ini 中的session配置决定(session.cookie_lifetime=0 session.gc_maxlifetime ==600 )
问题2:关闭客户端可以删除session或者使session失效吗?
不能删除session,但是有可能使session失效。使其失效的原因是如果配置的session有效期是cookie随浏览器失效。
问题3:
如果浏览器不支持cookie,session能正常使用吗?
可以,将session通过url传递

问题4:
如果服务器有多台服务器,session如何共享?
nfs 将多台服务器所在的session存储目录设为mount挂载的目录
memcache session.save_handle=memcache并设置路径session_path = ‘tcp://192.168.1.101:11211’

mysql session.save_handler=user ,然后建立session表,建立php文件用于对数据库表操作session数据,最后用session的都引入上一步中的php文件

六 HTTP缓存策略

性能优化

缓存 Cache-control、 If-Modified-Since、ETag

Cache-Control: max-age=600, no-cache="Set-Cookie"

no-cache="xxx":缓存,但在发回客户端前先作检查,传值则表示不缓存指定的header
no-store:不缓存任何内容,在IE中=no-cache。
max-age=120: 缓存最大有效期,秒(Age response header)
max-stale=600:在缓存过期后还可以继续保存600秒,不赋值则表示可一直有效
no-transform:禁止缓存代理修改内容
only-if-cached: 禁止缓存代理访问应用服务器,仅在有缓存时返回内容。
public: 任何客户端(代理服务器或浏览器)均可缓存
private: 仅限私有客户端(一般是浏览器)可缓存内容
must-revalidate: 必须重新验证缓存有效性(默认行为),此指令目的在于显式指明
proxy-revalidate:代理服务器需要重新验证缓存有效性,浏览器不需要
s-maxage:指定public客户端上的maxage,private 上忽略。

第一次请求,服务器响应:
Last-Modified: 时间A

第二次请求,附加 header,检查是否从上次修改时间点后又有过新的修改:
If-Modified-Since: 时间A

ETag:
If-None-Match:

Vary: Accept-Encoding
告知缓存代理服务器,客户端请求中发送了不同的 Accept-Encoding 就要缓存不同的版本
Vary: User-Agent 合理吗? back

连接

Connection: keep-alive
Keep-Alive: 10

压缩

Accept-Encoding、Content-Encoding
ob_start("ob_gzhandler");

片段请求

Range: bytes=0-1023

分块传输

Transfer-Encoding: chunked

七 HTTP安全、常见攻击方式及防范策略

XSS 跨站脚本共计

被攻击的网站上注入了可执行的js,通过js盗取cookie,发送到第三方网站

CRSF 跨站请求伪造

在用户不知情的情况下,通过第三方网站插入图片或JS提交POST请求的方式执行有害操作
POST 请求带hash值来防止

Sniffer 嗅探

各种监听、假冒

HTTP和HTTPS

HTTP原先 直接建立在tcp协议上
HTTPS 建立在ssl协议上,当然ssl协议也是建立在tcp协议上
SSL协议的工作流程
客户端向服务器请求获取证书+公钥
客户端通过CA验证收到证书的合法性
客户端通过收到的公钥加密一个字符串,作为后续通信密钥,发送给服务器
服务器通过私钥解密,得到通信密钥
后续HTTP协议通过通信密钥加密进行

八 PHP中HTTP相关应用实战

使用 fsockopen 函数来模拟实现HTTP协议
或curl扩展

相关文章

  • HTTP协议学习笔记

    一、HTTP简介 HTTP超文本传输协议是用于从万维网服务器传输超文本到本地浏览器的传送协议,HTTP基于TCP/...

  • HTTP协议学习笔记

    [TOC] 第一章 WEB网络基础 1.1 TCP/IP协议族 应用层、传输层、网络层、数据链路层 应用层:向用户...

  • HTTP协议学习笔记

    熟悉HTTP/HTTPS 等网络基本知识 一 什么是协议 1.什么是协议?通信双方预先定义好的通信规范或规则 2....

  • HTTP协议学习笔记

    MHLEVELFORONEANDONLY✊ 这篇主要是http协议的学习笔记,内容总结自极客时间陶辉。有内容不全的...

  • Http 协议:学习笔记

    1. 简介 http:超文本传输协议,是基于请求与响应模式的、无状态的(没有记忆的)、应用层的协议位于Tcp/Ip...

  • HTTP协议学习笔记

    HTTP协议 请求部分 --- 说白了就是浏览器发送给服务器的数据格式请求行 --- 提交方式,HTTP版本号et...

  • 了解Http

    http学习笔记 1. 什么是Http? Hypertext Transfer Protocol-超文本传输协议 ...

  • 图解HTTP协议读书笔记二

    图解HTTP协议读书笔记二 个人阅读《图解HTTP》的记录以及总结 以下内容会更深入的了解和学习HTTP协议的相关...

  • 透视HTTP协议:学习笔记

    HTTP 是一个用在计算机世界里的协议,它确立了一种计算机之间交流通信的规范,以及相关的各种控制和错误处理方式。 ...

  • HTTP协议学习笔记(1)

    先来看看MDN给出的定义: 超文本传输​​协议(HTTP)是一个用于传输超媒体文档(例如 HTML)的应用层协议。...

网友评论

      本文标题:HTTP协议学习笔记

      本文链接:https://www.haomeiwen.com/subject/bpitoctx.html