HTTP协议

HTTPS与网络安全

TCP/UDP

DNS

session和cookie

---

HTTP协议

超文本传输协议

• 请求/响应报文
• 连接建立流程
• HTTP特点

请求报文

get没有主体 post有主体

响应报文

HTTP的请求方式有哪些？

GET POST HEAD PUT DELETE OPTIONS

GET和POST方式的区别？

1. GET请求参数以？分割拼接到URL后面的，post请求参数在主体里面。
2. GET请求长度是2048个字符，POST一般没有限制
3. GET请求安全，POST不安全

标准答案 = 从语义的角度

• GET ： 获取资源
  安全的 幂等的 可缓存的
• POST： 处理资源
  不安全的 不幂等的 不可缓存的

安全性

不引起server推断的任何状态变化
GET HEAD POST

幂等性

同一个请求方法执行多次和执行一次效果是完全相同的
GET PUT DELETE

可缓存性

请求能否被缓存
GET HEAD

状态码

• 1xx
• 2xx: 成功
• 3xx ：重定向
• 4xx ：客户端请求有问题
• 5xx： server端有异常

HTTP协议连接流程

1. 三次握手建立连接
2. 在连接上面进行HTTP数据的请求和HTTP响应传递
3. 四次挥手释放连接

为什么是三次握手和四次挥手？

HTTP的特点

• 无连接
  HTTP的持久连接连接方案补偿
• 无状态
  同一个用户，server是不知道的
  Coojie/Session技术补偿

持久连接

为了提升效率，重复使用连接

• 头部字段
  connection： Keep-alive
  time：20
  max: 10
• 怎么判断一个球球是否结束？
  content-length：1024客户端响应理由
  chunked，多个块每个报文有一个chunked，结束后最后一个是空的chunked

Charles抓包原理

中间人攻击

---

HTTPS与网络安全

HTTP与HTTPS区别

HTTPS = HTTP + SSL/TLS(安全模块)

IP网络层，TCP是传输层，HTTP应用层 SSL/TLS应用层之下传输层之上

HTTPS是安全的HTTP是SSL/TLS应用层之下传输层之上 这个模块保证

会话秘钥

会话秘钥 = random S + random C + 预主秘钥

HTTPS用了那些加密手段？为什么？

• 连接建立过程中用非对称加密，非对称加密是很耗时的
  公钥 私钥
• 后续传递过程中是用对称加密的

非对称加密

非对称

对称加密

对称加密会被中间人截获，因为要传递

---

TCP和UDP

传输层的协议
TCP是传输层控制协议
UDP是用户数据报协议

UDP （户数据报协议）

• 无连接： 发送数据报，不用建立和释放连接
• 尽最大努力交付： 不保证可靠传输
• 面向报文

UDP用户数据报功能

1. 复用、分用

   
   多端口复用和分用

2. 差错检测

   
   

TCP

TCP特点

• 面向连接
• 可靠传输
• 面向字节流
• 流量控制
• 拥塞控制

TCP面向连接

传输前建立连接
三次握手
传输后释放连接
四次挥手

• 为什么不是两次呢？
  SYN同步报文超时或者丢失后，超时之后逗留在网络环境中，这个时候会发生超时重传，收到后server会回复一个确认的报文。如果是两次握手，这个时候TCP连接已经建立了，假设刚才逗留的超时报文过来了，这个时候Server会以为又要建立一个。通过ACK就能辨别是不是超时重复的请求。

• 为什么是四次挥手

  
  
  

  因为通道是全双通的，双向可以发送回复，才需要双方面的关闭。

TCP 可靠传输

• 无差错
• 不丢失
• 不重复

• 按序到达

  
  无差错情况

解决方案：超时重传 确认丢失场景 确认迟到场景

TCP面向字节流

对比UDP面向报文

TCP流量控制

滑动窗口协议

滑动窗口机制

TCP拥塞控制

慢开始、拥塞避免
快恢复、快重传

慢开始、拥塞避免

快恢复、快重传不回到慢开始的步骤

DNS解析

你了解DNS解析吗？过程是怎么样的？

域名到IP地址的一个映射，DNS解析请求采用UDP数据报，而且是明文的

DNS解析的查询方式

• 递归查询
  “我去给你问一下”

  
  递归查询

• 迭代查询
  “我告诉你谁可能知道”

  
  迭代查询

• DNS劫持
  明文被窃听

  
  DNS劫持

• DNS劫持和HTTP关系没有关系的
  DNS解析发生在HTTP建立之前
  DNS解析请求使用UDP数据报，端口号是53

DNS解析转发

DNS解析转发

怎么解决DNS劫持？

• httpDNS
  使用DNS协议向DNS服务器的53端口进行请求
  ⬇️
  

  使用HTTP协议向DNS服务器的53端口进行请求 httpDNS
• 长连接
  避免公网

长连接

Session/Cookie

HTTP无状态特点补偿

HTTP Cookie

• Cookie是用来记录用户状态的，用来区分用户的，状态保存在客户端

  
  

• 怎么修改cookie呢？
  新cookie覆盖旧cookie
  覆盖规则：name、path、domain等要和原cookie一致

• 怎么删除cookie呢？
  新cookie覆盖旧cookie
  覆盖规则：name、path、domain等要和原cookie一致
  设置cookie的expires = 过去的某个时间 或者 maxAge = 0

• 怎么保证Cookie的安全
  对cookie进行加密处理 （加密也会被脚本共计）
  只在https上携带cookie
  设置cookie为httpOnly，防止脚本工资

HTTP Session

• Cookie是用来记录用户状态的，用来区分用户的，状态保存在服务端
• Session要以来cookie机制

网络相关面试总结

HTTP的get和set的区别？（语义角度）
HTTPS建立的流程是什么样的？（时序图 机密和证书）
TCP和UDP的区别？（特点）
TCP慢开始？（拥塞控制）
怎么避免DNS劫持？（两种）