HTTP实用指南 | 青训营笔记

不是风动7783
40 阅读4分钟

这是我参与「第四届青训营 」笔记创作活动的第5天

HTTP实用指南

初识HTTP

Snipaste_2022-08-02_10-08-30

Snipaste_2022-08-02_10-11-57

什么是HTTP

  • Hyper Text Transfer Protocol超文本传输协议
  • 应用层协议,基于TCP协议
  • 请求响应
  • 简单可扩展
  • 无状态

Snipaste_2022-08-02_10-32-02

协议的发展

Snipaste_2022-08-02_10-34-11

报文

Snipaste_2022-08-02_10-37-30

Safe(安全的):不会修改服务器的数据的方法GET HEAD OPTIONS

Idempotent(幂等):同样的请求被执行一次与连续执行多次的效果是一样的,服务器的状态也是一样的所有safe

的方法都是Idempotent的GET HEAD OPTIONS PUT DELETE

状态码:

Snipaste_2022-08-02_10-40-24

  • 200 OK-客户端请求成功
  • 301-资源(网页等)被永久转移到其它URL
  • 302-临时跳转
  • 401 Unauthorized-请求未经授权
  • 404-请求资源不存在,可能是输入了错误的URL
  • 500-服务器内部发生了不可预期的错误
  • 504 Gateway Timeout-.网关或者代理的服务器无法在规 定的时间内获得想要的响应。

RESTful API

RESTful API:一种API设计风格;REST-Representational State Transfer

(1)每一个URI代表一种资源;

(2)客户端和服务器之间,传递这种资源的某种表现层

(3)客户端通过HTTP method,对服务器端资源进行操作,实现"表现层状态转化"。

请求返回码含义
GET/zoos200 OK列出所有动物园,服务器成功返回了
POST/zoos201 CREATED新建一个动物园,服务器创建成功
PUT/zoos/ID400INVALID REQUEST更新某个指定动物园的信息(提供该动物园全部信息)用户发出的请求有错误,服务器没有进行新建或修改数据的操作
DELETE/zoos/ID204 NO CONTENT删除某个动物园,删除数据成功

常用请求头

Accept接收类型,表示浏览器支持的MIME类型(对标服务端返回的Content-Type)
Content-Type客户端发送出去的实体内容的类型
Cache-Control指定请求和响应遵循的缓存机制,如no-cache
If-Modified- Since对应服务端的Last-Modified,用来匹配看文件是否变动,只能精确到1s内
Expires缓存机制,在这个时间内不会请求,直接使用缓存,服务端时间
Max-age代表资源在本地缓存多少秒,有效时间不会请求,而是使用缓存
If-None-Match对应服务端的ETag,用来匹配文件内容是否改变(非常精确)
Cookie有cookie并且同域访问时会自动带上
Referer该页面的来源URL(适用于所有类型的请求,会精确到详细的页面地址,CSRF拦截常用到这个字段)
Origin最初的请求时从哪里发起的(只会精确到接口),Origin比Referer更尊重隐私
User-Agent用保护客户端的一些必要信息,如UA头部等

强缓存

Expires,时间戳

  • Cache-Control
    • 可缓存性
      • no-cache:协商缓存验证
      • no-store:不使用任何缓存
  • 到期
    • max-age:单位是秒,存储的最大周期,相对于请求的时间
    • 重新验证*重新加载
      • must-revalidate:一旦资源过期,在成功向原始服务器验证之前,不能使用

协商缓存

  • Etag/If-None-Match:资源的特定版本的标识符,类似于指纹
  • Last-Modified/If-Modified-Since:最后修改时间

Snipaste_2022-08-02_11-23-03

Name=value各种cookie的名称和值
Expires=DateCookie的有效期,缺省时Cookie仅在浏览器关闭
之前有效。
Path=Path限制指定Cookie的发送范围的文件目录,默认为
当前
Domain=domain限制cookie生效的域名,默认为创建cookiel的服务
域名
secure仅在HTTPS安全连接时,才可以发送Cookie
HttpOnlyJavaScript脚本无法获得Cookie
SameSite=[None|Strict|Lax]None同站、跨站请求都可发送
Strict仅在同站发送
允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送

Snipaste_2022-08-02_11-32-39

Snipaste_2022-08-02_11-32-55

HTTP/2连接都是永久的,而且仅需要每个来源一个连接

流控制:阻止发送方向接收方发送大量数据的机制

对称加密:加密和解密都是使用同一个密钥

非对称加密,加密和解密需要使用两个不同的密钥:公钥(public key)和私钥(private key)

Snipaste_2022-08-02_15-01-37

静态资源

静态资源方案: 缓存 + CDN + 文件名hash

  • CDN Content Delivery Network

  • 通过用户就近性和服务器负载的判断,CDN确保内容以一种极为高效的方式为用户的请求提供服务

场景分析-登录

    • 表单登录
    • 扫码登录
  • 技术方式
    • SSO

为什么有options的请求?

跨域,cross-origin

场景分析-跨域

CORS( Cross-Origin Resource Sharing )

预请求:获知服务端是否允许该跨源请求(复杂请求)

相关协议头

  • Access-Control-Allow-Origin

  • Access-Control-Expose-Headers

  • Access-Control-Max-Age

  • Access-Control-Allow-Credentials

  • Access-Control-Allow-Methods

  • Access-Control-Allow-Headers

  • Access-Control-Request-Method

  • Access-Control-Request-Headers

  • Origin

跨域解决方案

  • CORS
  • 代理服务器
    • 同源策略是浏览器的安全策略,不是HTTP的
  • Iframe
    • 诸多不便

Snipaste_2022-08-02_15-56-32

avatar
文章
阅读
粉丝