在腾讯实习生面试时, 面试官问道:谈谈HTTP1.0和HTTP1.1的认识。
我懵逼了,完全不知道啊。今天在这里总结下HTTP1.0、HTTP1.1和HTTPS相关的知识点。
背景知识:首先我们要知道每一次HTTP服务都要建立TCP连接,客户端发送请求报文,服务器端发送响应报文后,由服务器端发送FIN报文段主动释放TCP连接。
1、HTTP1.0
1.1 HTTP1.0中请求方法只有三个:GET、POST、HEAD
1.2 HTTP1.0中的性能问题
给定一个URL,浏览器使用首先HTTP请求报文向服务器发送请求,服务器收到请求后给客户端响应报文(HTML文档),然后释放TCP连接。浏览器对HTML文档进行解析,遇到图片等资源时,如果本地缓存中没有就会重新建立TCP连接,向服务器发送HTTP请求获取图片等资源。这样每一个传输的文档都需要建立TCP连接、传输数据、释放TCP连接,这样势必会对HTTP带来性能问题。
我们都知道在三次握手建立TCP连接的过程中,通信双方会在SYN报文段(前两次握手)中“选项”字段的MSS(最大报文段长度)值来协商数据传输最大传输数据大小。HTTP请求是封装在TCP报文段中进行传输的,但是如果客户端发送的HTTP请求报文的长度大于MSS时,缓慢的建立使每一个TCP连接增加了额外的时延。
当服务器发送完对客户端的响应报文后,服务器会发送FIN报文,结束TCP连接。也就是说HTTP协议中,由服务器端发起释放TCP连接的报文。那么服务器所在的主机会产生TIME_WAIT时延,在一台繁忙的服务器上很多控制块处于这种状态。
2、HTTP1.1
2.1 HTTP1.1中新增的请求方法:PUT、DELETE、OPTIONS、CONNECT、TRACE
2.2 HTTP1.1对HTTP1.0性能改善
总结了以上HTTP1.0存在的不足,在HTTP1.1中对其进行了改善。
(1)HTTP1.1中使用了持续的TCP连接(长连接)
HTTP1.0中每传输一个文档(HTML或者图片资源)都使用一个单独的TCP连接,也就是说传输一个文档都需要如下步骤:
三次握手建立TCP连接
客户端发送HTTP请求报文
服务器端返回HTTP响应报文
服务器端释放连接
这样如果一个网页中包含很多图片资源,那么它会将时间浪费在TCP连接的建立和释放上。在HTTP1.1中使用了持续TCP连接对这个弊端进行了改善,也就是说只用一次TCP连接就可以传输一个页面所需的所有资源,从而避免了不必要的时间浪费。单独的网页的请求和应答使用单独的TCP连接,也就是说客户端访问另外一个网页,需要建立一条新的TCP连接。
那么HTTP1.1是如何实现TCP持续连接呢?
在HTTP1.1请求头中新加入了一个字段Connection。例如,当一个HTTP请求头中Connection字段值为Keep-Alive时(Connection: Keep-Alive),用来告诉服务器对这个请求返回后客户端与服务器端继续保持TCP连接。如果HTTP请求头中Connection字段值为Close时(Connection: Close),用来告诉服务器对这个请求返回后断开客户端与服务器端继续保持TCP连接。
(2)支持请求流水线(流水线)
在HTTP1.1中支持请求流水线这样的请求模式。为了说明请求流水线,我们先说下没有请求流水线的持续TCP。在一个网页中有很多其他资源,使用持续TCP连接的非流水线数据传输时,当客户端没有收到上一个http请求的响应报文之前是不会发送下一个http请求的。也就是说客户只在收到前一个请求的响应后才发出新的请求,这样在等到应答的这段时间内线路处于空闲状态会造成资源浪费。
那么为了解决这个问题,引入了带有流水线的持续TCP连接。也就说当客户端需要一个资源时就向服务器发送一个请求,不受上一次请求的响应报文的约束。但服务器端必须按照接收到客户端请求的先后顺序依次回送响应结果,以保证客户端能够区分出每次请求的响应内容。
(3)100-continue响应码(节约带宽)
在HTTP1.1中新加入100响应码,这个状态码用于节约数据传输的带宽的。当请求报文的请求体数据很大时,如果贸然的将这个http请求发送给服务器是不合适的。因为服务器可能不接受这个请求,这样就造成了大量的传输带宽浪费。
在HTTP1.1中加入了100响应码,以应对这种情况。如果客户端想要发送数据量很大的请求时,客户端在发送之前先发送一个只含有请求头的http报文。如果服务器拒绝请求,返回响应码为401的响应报文,这样客户端就不会发送这个大的请求报文。如果服务器允许该请求,会返回响应码为100的响应报文,客户端就可以发送大的请求报文了。
100 (Continue) 状态代码的使用,允许客户端在发request消息body之前先用只含header的request试探一下server,看server是否允许接收这个request,再决定要不要发request body。
客户端的request的header中有"Expect: 100-continue"字段,server看到这request后返回响应报文。如果客户端收到100响应码的响应报文,客户端发送完整request。
(4)Host请求头
HTTP 1.1中加入了“Host”请求头字段(HTTP1.0中没有Host字段)。在HTTP 1.0中每台服务器都绑定一个唯一的IP地址。因此,请求消息中的URL并没有传递主机名(hostname).但随着虚拟主机技术的发展,在一台物理服务器上可以存在多个虚拟主机(Multi-homed Web Servers),并且它们共享一个IP地址.
HTTP1.1的请求消息和响应消息都应支持Host
头域,且请求消息中如果没有Host
头域会报告一个错误(400 Bad Request).此外,服务器应该接受以绝对路径标记的资源请求.
HTTP 1.1中的请求头中的Host字段允许在一个服务器上建立多个站点。
3. HTTPS
HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS(HTTPS = HTTP + SSL)。
1、https协议需要申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的SSL加密传输协议。
3、http和https端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由HTTP+SSL协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
HTTPS的缺点
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。