读书笔记-图解HTTP

了解 Web 及网络基础

  • 访问 Web 时用的就是 HTTP 协议。
  • 有三项 WWW 构建技术
    • 页面的文本标记语言 HTML
    • 文档传递协议 HTTP
    • 文档所在地址的 URL
  • 通常使用的网络是在 TCP/IP 协议的基础上运作的。HTTP 属于其内部的一个子级
  • OSI 五层模型:应用层,传输层,网络层,数据链路层,物理层
  • 与 HTTP 密不可分的3个协议(IP、TCP 和 DNS)
    • IP 网际协议位于网络层,其作用是把何种数据包传送给对方。其中两个重要条件是 IP 地址和 MAC 地址
    • TCP 位于传输层,提供可靠的字节流服务。字节流服务是指,将大块数据分割成以报文字段为单位的数据包进行管理。可靠就是把数据准确地传递给对方。为了准确无误地把数传送到,TCP 协议采用了三次握手策略
    • DNS 服务和 HTTP 协议 一样位于应用层的协议。它提供域名到 IP 地址之间的解析服务
  • URL 是使用 Web 浏览器等访问 Web 页面时需要输入的网页地址

简单的 HTTP 协议

  • HTTP 协议和 TCP/IP 协议内的其他众多协议相同,用于客户端和服务器之间的通信
  • HTTP 协议规定,请求从客户端发出,最后服务器端相应该请求并返回
  • HTTP 是无状态协议,所以引入了 Cookie 技术
  • HTTP 使用 URI 定位互联网上的资源
    • GET 获取资源
    • POST 传输实体主体
    • PUT 传输文件
    • HEAD 获取报文首部
    • DELETE 删除文件
  • HTTP/1.1 建立的是持久连接,持久连接的好处在于减少了 TCP 连接的重复建立和断开造成的额外开销,减轻了服务器端的负载,这也使得请求以管线化方式发送称为可能。
  • 使用 Cookie 的状态管理

HTTP 报文内的 HTTP 信息

  • 用于 HTTP 协议交互的信息被称为 HTTP 报文
  • 报文的结构:请求行,状态行,首部字段,其他
  • 编码可以提升传输速率,但同时会消耗更多的 CPU
    • 压缩传输的内容编码:gzip, compress, deflate, identity
    • 分割发送的分块传输编码: 分块传输编码会将实体分成多个部分,每一块都会用十六进制来标记块的大小,而实体的最后一块会使用"0(CR+LF)"来标记
  • 发送多种数据的多部分对象集合:HTTP 协议中采纳了多部分对象集合,发送一份报文主体内可含有多类型实体。通常再图片或者文本上传时使用。常见的是 multipart/form-data
  • 获取部分内容的范围请求,指定范围发送的请求叫做范围请求。 Range: bytes=5001-1000 ,会用到首部字段 Range 来制定资源的 byte 范围
  • 内容协商返回给客户端最为适合的资源

返回结果的 HTTP 状态码

  • 状态码的职责是当客户端向服务器发送请求时,描述返回的请求结果
    • 1xx 接受的请求正在处理
    • 2xx 请求正常处理完毕
    • 3xx 需要进行附加操作以完成请求
    • 4xx 服务器无法处理请求
    • 5xx 服务器处理请求出错

与 HTTP 协作的 Web 服务器

一台 Web 服务器可搭建多个独立域名的 Web 网站,也可以作为通信路径上的中转服务器提升效率。

一个服务器可以使用虚拟主机功能,就像是有多台服务器一般

HTTP 通信时, 除客户端和服务器以外,还有一些用于通信数据转发的应用程序,例如代理、网管和隧道。它们可以配合服务器工作。

代理

代理:代理是一种有转发功能的应用程序,它扮演了位于服务器和客户端“中间人”的角色,接收由客户端发送的请求并转发给服务器,同时也接受服务器返回的响应并转发给客户端。

每次经过代理服务器转发请求或相应时,会追加写入 Via 首部信息。

使用代理服务器理由:利用缓存技术减少网络带宽的流量,组织内部针对特定网站的访问控制,以获取访问日志为主要目的,等等。

代理有多种使用方法,按两种基准分类。一种是是否使用缓存,另一种是是否会修改报文。

缓存代理:会预先将资源的副本保存在代理服务器上。

透明代理:转发请求或响应时,不对报文做任何加工的代理类型被称为透明代理。反之,对报文内容加工的代理被称为非透明代理。

网关

网关:网关是转发其他服务器通信数据的服务器,接收从客户端发送来的请求时,它就像自己拥有资源的源服务器一样对请求及进行处理。有事客户端可能都不会察觉,自己的通信目标是一个网关。

网关的工作机制和代理十分相似。而网关能使通信线路上的服务器提供非 HTTP 协议服务。

利用网关能提高通信的安全性,因为可以在客户端与网关之间的通信线路上加密以保持连接的安全。比如,网管可以连接数据库,使用 SQL 语句查询数据。另外, 在 Web 购物网站进行信用卡结算时,网关可以和信用卡结算系统联动。

隧道

隧道: 隧道是相隔在甚远的客户端和服务器之间进行中转,并保持双方通信连接的应用程序。

隧道可以按要求建立起一条与其他服务器的通信线路,届时使用 SSL 等加密手段进行通信。隧道的目的确保客户端与服务器进行安全的通信。

隧道本身不会解析 HTTP 请求。也就是说,请求保持原样中转给之后的服务器。隧道会在通信双方断开连接时结束。

HTTP 报文首部

HTTP 报文由 HTTP 版本、状态码、HTTP首部字段3部分构成。

HTTP 首部字段是构成 HTTP 报文的要素之一。在客户端与服务器之间以 HTTP 协议进行通信的过程中,无论是请求还是先响应都会使用到首部字段,它能起到传递额外重要信息的作用。

HTTP/1.1 通用首部字段

Cache-Control: 通过指定首部字段 Cache-Control 的指令,就能操作缓存的工作机制。

Connection: 控制不再转发给代理的首部字段,管理持久连接。

Date: 首部字段 Data 表明创建 HTTP 报文的日期和时间。

Pragma: 客户端会要求所有的中间服务器不返回缓存的资源。

Trailer: 会事先说明在报文主体后记录了哪些首部字段。

Transfer-Encoding: 规定了传输报文主体时采用的编码方式。

Upgrade: 用于检测 HTTP 协议及其他协议是否可使用更高的版本进行通信。

Via: 为了追踪客户端和服务器之间的请求和响应报文的传输路径。

ETag: 一种可将资源以字符串形式做唯一性标识的方式。服务器会为每份资源更新 ETag值。

Retry-After: 告诉客户端多久之后再次发送请求。

Content-Range: 针对范围请求,返回响应时使用的首部字段 Content-Rnage,能告知客户端作为响应返回的实体的哪个部分符合范围请求。

HttpOnly: 可以使 JavaScript 脚本无法获得 Cookie。

DNT: 拒绝个人信息被收集

确保 Web 安全的 HTTPS

在 HTTP 协议中可能会存在信息窃听或身份伪装等安全问题。使用 HTTPS 通信机制可以有效地防止这些问题。

HTTP 协议的缺点

  • 通信使用明文,内容可能会被窃听
  • 不验证通信方的身份,因此可能遭遇伪装
  • 无法验明报文的完整性,所以可能已遭篡改

HTTPS 简述

HTTP + 通信加密 + 证书认证 + 完整性保护 = HTTPS

HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用 SSL 和 TLS 协议代替而已。

通常 HTTP 直接和 TCP 通信。当使用 SSL 时, 则演变成先和 SSL 通信, 再由 SSL 和 TCP 通信。

SSL 是独立于 HTTP 的协议,所以不光是 HTTP 协议, 其它运行在应用层的 SMTP 和 Telnet 等协议可配合 SSL 协议使用。

HTTPS 加密机制

HTTPS 采用共享密钥加密和公开密钥加密两者并用的混合加密机制。若密钥能够实现安全交换,那么有可能会考虑仅使用公开密钥加密来通信。但是公开密钥与共享密钥相比,其处理速度要慢。

所以充分利用两者优势,将多种方法组合起来用于通信。在交换密钥环节使用公开密钥加密方式,之后建立通信交换报文阶段使用共享密钥加密方式。

在能使用 HTTPS 的情况下尽可能用 HTTPS

确认访问用户的身份

  • BASIC 认证
  • DIGEST 认证
  • SSL 客户端认证
  • FormBase 认证

基于 HTTP 的功能追加协议

  • Ajax 的解决办法
  • Comet 的解决方法
  • 浏览器进行全双工通信的 WebSocket
  • HTTP/2.0

针对 Web 的攻击技术

  • SQL 注入攻击
  • XSS 跨站脚本攻击
  • CSRF 跨站请求伪造
  • DDoS 分布式拒绝服务

--EOF--

你可能感兴趣的:(读书笔记-图解HTTP)