浅谈 HTTP

这两天读了下《图解HTTP》，此处谨做读后感记录。

1. HTTP —— 超文本传输协议

我们所用的 Web 使用 HTTP 协议作为规范，完成从客户端到服务端等一系列运作流程，进行通信。

2. TCP/IP

TCP/IP 是互联网相关的各类协议族的总称，HTTP 是它的一个子集。
TCP/IP 协议族按层次分为：应用层、传输层、网络层、数据链路层。

3. 输入Url 到页面加载完发生了什么

DNS 域名解析： 将域名解析成 IP 地址

发起TCP连接：三次握手 （以 SYN 和 ACK 为标志）
A）可以吗？ B）可以，确定吗？ A）确定，连接吧！

发送HTTP请求，接受HTTP响应：
HTTP请求报文格式：请求方法、请求URI、协议版本、可选的请求首部字段、内容实体
HTTP响应报文格式：协议版本、状态码（数字+原因短语）、可选的响应首部字段、响应主体

断开TCP连接：四次挥手
A）断开吧？ B）好，我稍微检查一下 B）可以了，断开吧，再见 A)好的，再见

渲染：浏览器解析HTML代码，请求js，css等资源，将页面渲染出来

4. 持久连接 —— HTTP/1.1 中，所有连接默认都是持久连接

只要任意一端没有明确提出断开连接，则保持 TCP 连接状态，节省了大量 TCP 连接建立和断开的开销。

5. 使用 Cookie 的状态管理

HTTP 是无状态协议，Cookie 技术通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态。

Cookie 交互场景如下：

客户端：初次请求

服务器：生成 Cookie，记住是谁访问的，通过响应报文中 Set-Cookie 通知客户端保存 Cookie（含 Session ID）

客户端：保存 Cookie

客户端：再次请求会在请求报文中自动带入 Cookie（含 Session ID）值

服务端：检查 Cookie（含 Session ID），对比服务器上的记录，得到之前的状态信息

6. HTTP 状态码

-	类别	描述
1xx	通知	服务器收到请求，请继续执行请求
2xx	成功	请求正常处理完毕
3xx	重定向	需要进行附加操作以完成请求
4xx	客户端错误	客户端请求出错，服务器无法处理请求
5xx	服务器错误	服务器处理请求出错

100 Continue： 服务器已收到请求的一部分，正在等待其余部分，请求者应当继续提出请求

101 Switching Protocols： 客户端请求切换协议，服务器已确认并准备切换

200 OK： 客户端发送给服务器的请求被正常处理并返回

204 No Content： 请求处理成功，但没有资源可以返回

206 Partial Content： 对资源进行一部分的请求

301 Moved Peremanently： 永久性重定向——请求的的资源被分配了新的URL，之后应使用新的URL

302 Found： 临时性重定向——请求的资源被分配了新的URL，希望本次访问使用新的URL

303 SeeOther： 请求的资源被分配了新的URL，应使用get方法定向获取请求的资源，与302功能相同，但明确表示应使用 get 进行请求

304 Not Modified： 客户端发送附带条件的请求时，服务端允许访问资源

400 Bad Request： 请求报文中存在语法错误

401 Unauthorized： 未经许可，需要通过HTTP认证

403 Forbidden： 服务器拒绝该次访问

404 Not Found： 服务器上无法找到请求的资源

500 Inter Server Error： 服务器执行请求时发生了错误

502 Bad Gateway： 充当网关或代理的服务器从远端服务器接收到了一个无效的请求

503 Server Unavailable： 服务器暂时处于超负载或正在进行停机维护，无法处理请求

504 Gateway Time-out： 充当网关或代理的服务器，未及时从远端服务器获取请求

7. 缓存

缓存 —— 代理服务器或客户端本地内保存的资源副本。利用缓存可减少对源服务器的访问，节省了通信流量和通信时间。

8. HTTP 首部字段

8.1 通用首部字段

Cache-Control ——用户操作缓存的工作机制
请求指令：
no-cache：强制向源服务器再次验证
no-store：不缓存请求或响应的任何内容
max-age（必需）：相应的最大 Age 值
响应指令：
private：仅向特定用户返回响应
public：可向任意方提供响应的缓存
max-age（必需）：相应的最大 Age 值，存在则优先处理，忽略 Expires
Connection —— 控制不再转发给代理的首部字段，管理持久连接（Keep-Alive）
Date —— 表明创建 HTTP 报文的日期和时间

8.2 请求首部字段

Accept—— 通知服务器，用户代理能够处理的媒体类型及媒体类型的相对优先级
Authorization—— 告知服务器用户代理的认证信息
Host—— 告知服务器请求资源所处的互联网的主机名和端口号
If-Match—— 字段与 Etag 值匹配才会执行请求

8.2 响应首部字段

Etag—— 告知客户端实体标志，将资源以字符串性质做唯一性标识
Expires—— 将资源失效日期告知客户端
Set-Cookie—— 管理客户端状态
expires：Cookie 的有效期
Secure：仅在 HTTPS 安全通信时才发送 Cookie
HttpOnly：加以限制，使 Cookie 不能被 JavaScript 脚本访问，防止跨站脚本攻击（XSS）对 Cookie 的窃取

9. 确保 Web 安全的 HTTPS

HTTP 的缺点：
1）通信使用明文，内容可能会被窃听
2）不验证通信方身份，可能遭遇伪装
3）无法证明报文的完整新，可能已被篡改

HTTPS —— 超文本传输安全协议：加密+证书+完整性保护
1）SSL 使用公开密钥加密的加密处理方式，建立安全通信线路，HTTP 先和 SSL 通信，再由 SSL 和 TCP 通信
2）提供证书确认，用于进行身份确认
3）提供摘要功能
4）HTTPS 比 HTTP 慢 2~100 倍

10. 安全性问题

跨站脚本攻击（XSS）—— 通过浏览器运行非法的 HTML 标签或 JavaScript 进行的共计
跨站点请求伪造（CSRF）—— 利用已通过认证的用户权限进行操作