HTTP学习汇总概览

一，各版本http协议的标准描述

        http1.0 - 1996年5月公布，记载于RFC1945

            地址：https://www.ietf.org/rfc/rfc1945.txt

        http1.1 - 1997年1月公布，当前主流的http协议版本，最新版本为修订版RFC2616（最初版为RFC2068）

            地址：https://www.ietf.org/rfc/rfc2616.txt

        http2.0 - 暂未发布，推行需要时间

二，HTTP1.0和HTTP1.1的一些区别

        2.1，缓存处理：在HTTP1.0中主要使用header里的If-Modified-Since,Expires来作为缓存判断的标准，HTTP1.1则引入了更多的缓存控制策略例如Entity tag，If-Unmodified-Since, If-Match, If-None-Match等更多可供选择的缓存头来控制缓存策略。

        2.2，长连接：HTTP 1.1支持长连接（PersistentConnection）和请求的流水线（Pipelining）处理，在一个TCP连接上可以传输多个HTTP请求和响应，减少了建立和关闭连接的消耗和延迟，在HTTP1.1中默认开启Connection： keep-alive，一定程度上弥补了HTTP1.0每次请求都要创建连接的缺点。

        2.3，Host头处理，在HTTP1.0中认为每台服务器都绑定一个唯一的IP地址，因此，请求消息中的URL并没有传递主机名（hostname）。但随着虚拟主机技术的发展，在一台物理服务器上可以存在多个虚拟主机（Multi-homed Web Servers），并且它们共享一个IP地址。HTTP1.1的请求消息和响应消息都应支持Host头域，且请求消息中如果没有Host头域会报告一个错误（400 Bad Request）。

        2.4，错误通知的管理，在HTTP1.1中新增了24个错误状态响应码，如409（Conflict）表示请求的资源与资源的当前状态发生冲突；410（Gone）表示服务器上的某个资源被永久性的删除。

三，对于http需要了解的知识点

        3.1，http常用状态码的含义？

        3.2，http握手机制

        3.3，四层网络模型，五层网络模型和七层网络模型

        3.4，http报文信息解读

        3.5，DNS协议及DNS查找顺序

四，对于信息安全需要了解的内容

        4.1，xss攻击

                    1）类型：反射型，存储型，dom型，还有两种不常见的类型——突变型（类似dom型）和uxss（通用型xss，一般是基于浏览器或浏览器拓展插件的缺陷而发起的xss攻击）

                   2）上述xss攻击原理：

       4.2，csrf攻击

                    1）原理：

                            合法用户A在合法流程下登录了目标网站www.dev.xxx.com；

                            登录成功后，目标网站服务器为了标识用户A，给A返回了cookie以及sessionId数据；

                            在用户会话id未失效前（用户A在未关闭浏览器且未登出的状态下，或是用户在关闭浏览器的很短时间内【此时用户会话id不一定失效】）访问了非法用户B构造的钓鱼网站，致使非法用户B经过某种手段拿到了用户A的合法访问信息-sessionId；

                            非法用户B在该sessionId没失效之前，借助该会话信息访问目标网站，由于服务器无法确认“对面是人是狗”，所以csrf攻击到此成功实施；

                    2）防范：

                            使用https协议保证相对数据通信安全；

                            服务器返回httpOnly标识，相对状态下禁止js访问cookie；