一、HTTP协议概念
1.1 什么是HTTP协议
HTTP协议:浏览器客户端跟服务器端的数据传输格式的规范
2.1 HTTP协议的内容
1.请求(浏览器-》服务器)
GET /day09/hello HTTP/1.1 //请求行(请求的方式和HTTP版本)
Host: localhost:8080 //请求头(ip和端口)
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0 // 浏览器版本
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 //支持的格式
Accept-Language: zh-cn,en-us;q=0.8,zh;q=0.5,en;q=0.3 //支持的文字编码
Accept-Encoding: gzip, deflate
Connection: keep-alive
//一个空行
name=eric&password=123456 //实体内容
2.1.1 请求行
HTTP版本:
http1.0:当前浏览器客户端与服务器端建立连接之后,只能发送一次请求,一次请求之后连接关闭。
http1.1:当前浏览器客户端与服务器端建立连接之后,可以在一次连接中发送多次请求。(基本都使用1.1)
请求方式:
基本的请求方式:GET、 POST、 HEAD、 TRACE、 PUT、 CONNECT 、DELETE
常用的请求:POST、GET(常用于表提交)
POST和GET请求的区别:
1. GET方式提交:
(1) 地址栏(url)会跟上参数数据,以?开头,多个参数之间以&分割。
(2) GET提交参数数据有限制,不超过1kb。
(3) GET方式不适合提交敏感密码<密码,用户名之类的>。
2.POST方式提交:
(1) 参数不会跟着url后面,而是跟在请求的实体内容中。没有?开头,多个参数之间以&分割。
(2) POST提交的数据没有限制。
(3) POST提交的数据不会暴露,适合提交敏感数据。
2.1.2 请求头
Accept: text/html,image/* --浏览器接受的数据类型
Accept-Charset: ISO-8859-1 --浏览器接受的编码格式
Accept-Encoding: gzip,compress --浏览器接受的数据压缩格式
Accept-Language: en-us,zh- --浏览器接受的语言
Host: www.it315.org:80 --(必须的)当前请求访问的目标地址(主机:端口)
If-Modified-Since: Tue, 11 Jul 2000 18:23:51GMT --浏览器最后的缓存时间
Referer:http://www.it315.org/index.jsp --当前请求来自于哪里
User-Agent: Mozilla/4.0 (compatible; MSIE5.5; Windows NT 5.0) --浏览器类型
Cookie:name=eric --浏览器保存的cookie信息
Connection: close/Keep-Alive --浏览器跟服务器连接状态。close: 连接关闭 keep-alive:保存连接。
Date:Tue, 11 Jul 2000 18:23:51 GMT --请求发出的时间
2.1.2 实体内容
只有POST请求会把数据放到实体内容中。
2.1.3 HttpServletRequest对象
HttpServletRequest对象作用是用于获取请求数据。
请求行:
request.getMethod(); 请求方式
request.getRequetURI() / request.getRequetURL() 请求资源
request.getProtocol() 请求http协议版本
请求头:
request.getHeader("名称") 根据请求头获取请求值
request.getHeaderNames() 获取所有的请求头名称
实体内容: request.getInputStream() 获取实体内容数据
2.2 什么是时间戳
概念:很多网站在发布版本之前,都会在URL请求地址后面加上一个实现戳进行版本更新(为了防止缓存)
2.3 防止非法链接(referer)
概念:防别的网站直接引用本站的资源(图片等),引用多了增大服务器压力。
预防:判断referer来源,若请求不是本ip或者绑定的域名,就跳转到警告页面。
非法链接:
1)直接访问访问资源
referer:当前请求来自于哪里。
代码:
<filter>
<filter-name>ImgFilterfilter-name>
<filter-class>com.itmayiedu.filter.ImgFilterfilter-class>
filter>
<filter-mapping>
<filter-name>ImgFilterfilter-name>
<url-pattern>/static/*url-pattern>
filter-mapping>
publicclass ImgFilter implements Filter {
publicvoid destroy() {
// TODO Auto-generated method stub
}
publicvoid doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChainfilterChain)
throws IOException, ServletException {
HttpServletRequestrequest = (HttpServletRequest) servletRequest;
HttpServletResponseresponse = (HttpServletResponse) servletResponse;
Stringreferer = request.getHeader("referer");
System.out.println("refer is" + "" + referer);
if (referer == null || !referer.contains(request.getServerName())) {
request.getRequestDispatcher("/static/error.png").forward(request, response);
}else {
filterChain.doFilter(request, response);
}
}
publicvoid init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
}
}
2.3 传递的请求参数如何获取
GET方式:参数放在URI后面
POST方式:参数放在实体内容中
获取GET方式参数:request.getQueryString();
获取POST方式参数:request.getInputStream();
但是以上两种不通用,而且获取到的参数还需要进一步地解析。 所以可以使用统一方便的获取参数的方式:
核心的API:
request.getParameter("参数名"); 根据参数名获取参数值(注意,只能获取一个值的参数)
request.getParameterValue("参数名“);根据参数名获取参数值(可以获取多个值的参数)
request.getParameterNames(); 获取所有参数名称列表
3.1 HTTP响应
HTTP/1.1 200 OK --响应行
Server: Apache-Coyote/1.1 --响应头(key-vaule)
Content-Length: 24
Date: Fri, 30 Jan 2015 01:54:57 GMT
--一个空行
this is hello servlet --实体内容
3.1.1 响应行
http协议版本
状态码: 服务器处理请求的结果(状态)
常见的状态:
200:表示请求处理完成并完美返回
302:表示请求需要进一步细化。
404 : 表示客户访问的资源找不到。
500:表示服务器的资源发送错误。(服务器内部错误)
状态描述
3.1.2 常见的响应头
Location:
http://www.it315.org/index.jsp --表示重定向的地址,该头和302的状态码一起使用。
Server:apache tomcat --表示服务器的类型
Content-Encoding: gzip --表示服务器发送给浏览器的数据压缩类型
Content-Length: 80 --表示服务器发送给浏览器的数据长度
Content-Language: zh-cn --表示服务器支持的语言
Content-Type: text/html; charset=GB2312 --表示服务器发送给浏览器的数据类型及内容编码
Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT --表示服务器资源的最后修改时间
Refresh:1;url=http://www.it315.org --表示定时刷新
Content-Disposition: attachment;filename=aaa.zip --表示告诉浏览器以下载方式打开资源(下载文件时用到)
Transfer-Encoding: chunked
Set-Cookie:SS=Q0=5Lb_nQ; path=/search --表示服务器发送给浏览器的cookie信息(会话管理用到)
Expires: -1 --表示通知浏览器不进行缓存
Cache-Control: no-cache
Pragma: no-cache
Connection: close/Keep-Alive --表示服务器和浏览器的连接状态。close:关闭连接 keep-alive:保存连接
3.1.3 HttpServletResponse对象
HttpServletResponse对象修改响应信息:
响应行:response.setStatus() 设置状态码
响应头: response.setHeader("name","value") 设置响应头
实体内容:response.getWriter().writer(); 发送字符实体内容
response.getOutputStream().writer() 发送字节实体内容
3.1.4 请求重定向(本服务器)
resp.setStatus(302);
resp.setHeader("Location", "OtherServlet");//重定向到别的服务器
4.1Https与Http
4.1.1 https与http区别?
1、https 协议需要到 ca 申请证书,一般免费证书较少,因而需要一定费用。
2、http 是超文本传输协议,信息是明文传输,https则是具有安全性的ssl 加密传输协议。
3、http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是 443。
4、http 的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比http 协议安全。
4.1.2 https工作原理?
我们都知道HTTPS 能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS 协议。客户端在使用HTTPS 方式与Web 服务器通信时有以下几个步骤,如图所示。(1)客户使用 https 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。
(2)Web 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web 服务器利用自己的私钥解密出会话密钥。
(6)Web 服务器利用会话密钥加密与客户端之间的通信。
4.1.3 https优缺点?
虽然说HTTPS 有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近50%,增加 10% 到 20% 的耗电;
(2)HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
(5)HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA 根证书的情况下,中间人攻击一样可行。
5.1 跨域实战解决方案
跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
报错信息:XMLHttpRequest cannot load
5.1.1 使用后台response添加header解决
后台response添加header,response.setHeader("Access-Control-Allow-Origin","*");支持所有网站
前端代码:
$.ajax({
type :"POST",
async :false,
url :"http://a.a.com/a/FromUserServlet?userName=张三",
dataType :"jsonp",//数据类型为jsonp
jsonp :"jsonpCallback",//服务端用于接收callback调用的function名的参数
success :function(data) {
alert(data.result);
},
error :function() {
alert('fail');
}
});
后端代码:
@WebServlet("/FromUserServlet")
publicclassFromUserServletextends HttpServlet {
@Override
protectedvoid doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
doPost(req, resp);
}
@Override
protectedvoid doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
resp.setCharacterEncoding("UTF-8");
//
resp.setHeader("Access-Control-Allow-Origin", "*");
StringuserName = req.getParameter("userName");
StringuserAge = req.getParameter("userAge");
System.out.println(userName + "----" + userAge+"---"+req.getMethod());
// JSONObject
JSONObject1 = new JSONObject();
//
JSONObject1.put("success", "添加成功!");
// resp.getWriter().write("callbackparam(" + JSONObject1.toJSONString()
// + ")");
try {
resp.setContentType("text/plain");
resp.setHeader("Pragma", "No-cache");
resp.setHeader("Cache-Control", "no-cache");
resp.setDateHeader("Expires", 0);
PrintWriterout = resp.getWriter();
JSONObjectresultJSON = new JSONObject(); // 根据需要拼装json
resultJSON.put("result", "content");
StringjsonpCallback = req.getParameter("jsonpCallback");// 客户端请求参数
out.println(jsonpCallback + "(" + resultJSON.toJSONString() + ")");// 返回jsonp格式数据
out.flush();
out.close();
}catch (Exception e) {
// TODO: handle exception
}
}
}
JSONP的优缺点:
JSONP只支持get请求不支持psot请求