[http协议详解]https://www.cnblogs.com/li0803/archive/2008/11/03/1324746.html

1.1 http 请求

http 请求由三部分组成，请求行，消息报头，请求正文

1.请求行是以方法符号开头，以空格分开，后面是请求的url和协议的版本
格式如下：Method Request-URI HTTP-Version CRLF

其中 Method表示请求方法；Request-URI是一个统一资源标识符；HTTP-Version表示请求的HTTP协议版本；CRLF表示回车和换行（除了作为结尾的CRLF外，不允许出现单独的CR或LF字符）

请求方法如下:

GET     请求获取Request-URI所标识的资源
POST    在Request-URI所标识的资源后附加新的数据
HEAD    请求获取由Request-URI所标识的资源的响应消息报头
PUT     请求服务器存储一个资源，并用Request-URI作为其标识(上传)
DELETE  请求服务器删除Request-URI所标识的资源
TRACE   请求服务器回送收到的请求信息，主要用于测试或诊断
CONNECT 保留将来使用
OPTIONS 请求查询服务器的性能，或者查询与资源相关的选项和需求
move 改变数据包

2. 请求报头
   是允许客户端向服务器端传递请求的附加信息以及客户端自身的信息。

常用的请求报头:
(1). Accept请求报头域用于指定客户端接受哪些类型的信息。eg：Accept：image/gif，表明客户端希望接受GIF图象格式的资源；
Accept：text/html，表明客户端希望接受html文本。
(2). Accept-Charset
Accept-Charset请求报头域用于指定客户端接受的字符集。eg：Accept-Charset:iso-8859-1,gb2312.如果在请求消息中没有设置这个域，缺省是任何字符集都可以接受。

(3). Accept-Language
Accept-Language请求报头域类似于Accept，但是它是用于指定一种自然语言。
eg：Accept-Language:zh-cn.如果请求消息中没有设置这个报头域，服务器假定客户端对各种语言都可以接受。
(4). Authorization
Authorization请求报头域主要用于证明客户端有权查看某个资源。当浏览器访问一个页面时，如果收到服务器的响应代码为401（未授权），可以发送一个包含Authorization请求报头域的请求，要求服务器对其进行验证。
(5). Host（发送请求时，该报头域是必需的）
Host请求报头域主要用于指定被请求资源的Internet主机和端口号，它通常从HTTP URL中提取出来的，eg：
我们在浏览器中输入：[http://www.guet.edu.cn/index.html]
(6). user-Agent（可选）
User-Agent请求报头域允许客户端将它的操作系统、浏览器和其它属性告诉服务器。
(7).Accept-Encoding
Accept-Encoding请求报头域类似于Accept，但是它是用于指定可接受的内容编码。
eg：Accept-Encoding:gzip.deflate.如果请求消息中没有设置这个域服务器假定客户端对各种内容编码都可以接受。
（8). Authorization
用于为一种内置http身份验证向服务器提交证书。
(9). if-modified-since:
用于说明浏览器最后一次收到请求的资源的时间，自此之后资源没有变化，服务器会发送304，指示客户端使用资源的缓存副本。
(10). Origin:
用在跨域(协议，端口、url发生改变)ajax中，用于指示提出请求的域。 
(11) Referer
 访问当前页面的上一个页面的地址

3. 请求正文

1.2 http 响应

http响应由状态行，消息报头，响应正文
1、状态行格式如下：
HTTP-Version Status-Code Reason-Phrase CRLF
其中，HTTP-Version表示服务器HTTP协议的版本；Status-Code表示服务器发回的响应状态代码；Reason-Phrase表示状态代码的文本描述。
状态代码有三位数字组成，第一个数字定义了响应的类别，且有五种可能取值：

1xx：指示信息--表示请求已接收，继续处理
2xx：成功--表示请求已被成功接收、理解、接受
3xx：重定向--要完成请求必须进行更进一步的操作
4xx：客户端错误--请求有语法错误或请求无法实现
5xx：服务器端错误--服务器未能实现合法的请求
常见状态代码、状态描述、说明：
200 OK      //客户端请求成功
400 Bad Request  //客户端请求有语法错误，不能被服务器所理解
401 Unauthorized //请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用 
403 Forbidden  //服务器收到请求，但是拒绝提供服务
404 Not Found  //请求资源不存在，eg：输入了错误的URL
500 Internal Server Error //服务器发生不可预期的错误
503 Server Unavailable  //服务器当前不能处理客户端的请求，一段时间后可能恢复正常

2. 响应报头后叙
   响应报头允许服务器传递不能放在状态行中的附加响应信息，以及关于服务器的信息和对Request-URI所标识的资源进行下一步访问的信息。

 常用的响应报头
 (1). Location
Location响应报头域用于重定向接受者到一个新的位置。Location响应报头域常用在更换域名的时候。
 (2). Server
Server响应报头域包含了服务器用来处理请求的软件信息。与User-Agent请求报头域是相对应的。下面是
Server响应报头域的一个例子：
Server：Apache-Coyote/1.1


 (3).WWW-Authenticate
WWW-Authenticate响应报头域必须被包含在401（未授权的）响应消息中，客户端收到401响应消息时候，并发送Authorization报头域请求服务器对其进行验证时，服务端响应报头就包含该报头域。
(提供与服务器所支持的身份验证类型有关的信息)
eg：WWW-Authenticate:Basic realm="Basic Auth Test!"  //可以看出服务器对请求资源采用的是基本验证机制。
(4). Vary : Accept-Encoding 表示网站一般启用了CZip压缩

(5).ETag:W/xxxxxxx
浏览器根据http请求的ETag验证请求的资源是否发生变化，没有变化，服务器返回304状态，将资源从缓存中读取。不需要进行下载请求

(6). Pragma 消息头
指示浏览器不要将响应放入缓存中。

3.响应正文就是服务器返回的资源的内容

1.3 消息报头

http消息是由客户端到服务器的请求和服务器到客户端的响应组成。

请求消息和响应消息都是由 开始行(请求信息是开始行，响应信息是状态行)、消息报头(可选) 、空行(只有CRLE的行) 、消息正文(可选)组成。

http消息报头包括 普通报头、请求报头、响应报头、实体报头。
(1). 普通报头
在普通报头中，有少数报头域用于所有的请求和响应消息，但并不用于被传输的实体，只用于传输的消息。

(1) . Cache-control 
用于指定缓存指令，缓存指令是单向的（响应中出现的缓存指令在请求中未必会出现），
且是独立的（一个消息的缓存指令不会影响另一个消息处理的缓存机制），HTTP1.0使用的类似的报头域为Pragma(主要用于向浏览器传入缓存指令)。

请求时的缓存指令包括：no-cache（用于指示请求或响应消息不能缓存）、no-store、max-age、max-stale、min-fresh、only-if-cached;

响应时的缓存指令包括：public、
private(仅仅客户端可以缓存，代理服务器端不可缓存)、
no-cache、
no-store（所有的内容都不会被缓存）、no-transform、
must-revalidate/proxy-revalidate（缓存内容失效请求必须发送到服务器进行重新验证）、
max-age=xxx（缓存将在xxx秒后失效，只能在http1.1失效）
s-maxage

(2). 请求报头(见1.1 请求报头)
(3). 响应报头(见1.2 响应报头)
(4). 实体报头
请求和响应消息都可以传送一个实体。一个实体由实体报头域和实体正文组成，可以只发送实体报头域。
实体报头定义了关于实体正文（eg：有无实体正文）和请求所标识的资源的元信息。

常见的实体报头
  (1).Content-Encoding
Content-Encoding实体报头域被用作媒体类型的修饰符，它的值指示了已经被应用到实体正文的附加内容的编码，因而要获得Content-Type报头域中所引用的媒体类型，必须采用相应的解码机制。Content-Encoding这样用于记录文档的压缩方法，eg：Content-Encoding：gzip
 (2).Content-Language
Content-Language实体报头域描述了资源所用的自然语言。没有设置该域则认为实体内容将提供给所有的语言阅读
者。eg：Content-Language:da
(3).Content-Length
Content-Length实体报头域用于指明实体正文的长度，以字节方式存储的十进制数字来表示。
(4). Content-Type
Content-Type实体报头域用语指明发送给接收者的实体正文的媒体类型。eg：
Content-Type:text/html;charset=ISO-8859-1
Content-Type:text/html;charset=GB2312
(5). Last-Modified
Last-Modified实体报头域用于指示资源的最后修改日期和时间。
(6). Expires
Expires实体报头域给出响应过期的日期和时间。
用来设置缓存失效的时间

1.4 cookie

当用户第一次访问并登陆一个网站的时候，cookie的设置以及发送会经历以下4个步骤：

客户端发送一个请求到服务器 --》 服务器发送一个HttpResponse响应到客户端，其中包含Set-Cookie的头部 --》 客户端保存cookie，之后向服务器发送请求时，HttpRequest请求中会包含一个Cookie的头部 --》服务器返回响应数据

image.png

Cookie是由服务器端生成，发送给客户端,浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就客服端发送该Cookie给服务器。

1.4.1 发送cookie

服务器向客户端发送cookie是通过http响应报文实现的，在set-cookie中设置需要向客户端发送的cookie.
cookie格式如下：

Set-Cookie: 
"name=value;domain=.domain.com;path=/;expires=Sat, 11 Jun 2016 11:29:42 GMT;HttpOnly;secure"


主要参数(name=value是必选项，其它都是可选项):

name:一个唯一确定的cookie名称。通常来讲cookie的名称是不区分大小写的。

value:存储在cookie中的字符串值。最好为cookie的name和value进行url编码

domain:cookie对于哪个域是有效的。所有向该域发送的请求中都会包含这个cookie信息。这个值可以包含子域(如：yq.aliyun.com)，也可以不包含它(如：.aliyun.com，则对于aliyun.com的所有子域都有效).

path: 表示这个cookie影响到的路径，浏览器跟会根据这项配置，像指定域中匹配的路径发送cookie。

expires:失效时间，表示cookie何时应该被删除的时间戳，如果不设置这个时间戳，浏览器会在页面关闭时即将删除所有cookie；这个值是GMT时间格式。

max-age: 用来告诉浏览器此cookie多久过期（单位是秒）

HttpOnly: 设置这个属性，将无法通过客户端js直接访问cookie。但在http请求张仍然会携带这个cookie。这个值虽然在脚本中不可获取，但仍然在浏览器安装目录中以文件形式存在。这项设置通常在服务器端设置。（不设置默认允许js访问cookie ）
secure: 安全标志，指定后，只有在使用SSL链接时候才能发送到服务器，如果是http链接则不会传递该信息。

2 编码

1. url编码

常见的url编码
1. %3d    代表 =
2. %25    %
3. %20/-   空格
4. %0a  换行
5. %00   空字节

2. Unicode 编码