这是我参与「第四届青训营」笔记创作活动的第4天
初识HTTP - 什么是HTTP
- Hyper Text Transfer Protocol 超文本传输协议
- 应用层协议,基于TCP协议
- 请求 响应
- 简单可扩展
- 无状态 每个请求是孤立的 HTTP协议不会根据之前的状态进行本次的请求处理
协议分析 - 发展
HTTP/0.9 单行协议
- 请求 GET/mypage.html
- 相应只有 HTML 文档
HTTP/1.0 构建可扩展性
- 增加了 header
- 有了状态码
- 支持多种文档类型
HTTP/1.1 标准化协议
- 链接复用
- 缓存
- 内容协商
HTTP/2 更优异的表现
- 二进制协议
- 压缩 header
- 服务器推送
各版本的区别
协议分析
Method
| 方法 | 描述 |
|---|---|
| GET | 请求一个指定资源的表示形式,使用GET的请求应该只被用于获取数据 |
| POST | 用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用 |
| PUT | 用请求有效载荷替换目标资源的所有当前表示 |
| DELETE | 删除指定的资源 |
| HEAD | 请求一个与GET请求的响应相同的响应,但没有响应体 |
| CONNECT | 建立一个到由目标资源表示的服务器的隧道 |
| OPTIONS | 用于描述目标资源的通信选项 |
| TRACE | 沿着到目标资源的路径执行一个消息回环测试 |
| PATCH | 用于对资源应用部分修改 |
Safe ( 安全的 ) : 不会修改服务器数据的方法 ( GET、HEAD、OPTIONS ) Idempotent ( 幂等 ) : 同样的请求被执行一次与连续执行多次的效果是一样的,服务器的状态也是一样的,所有 safe 的方法都是 idempotent 的 ( GET、HEAD、OPTIONS、PUT、DELETE )
状态码
| 状态码 | 分类描述 |
|---|---|
| 1xx | 指示信息,表示请求已接收,继续处理 |
| 2xx | 成功,表示请求已被成功接收、理解、接受 |
| 3xx | 重定向,要完成请求必须更进一步的操作 |
| 4xx | 客户端错误,请求有语法错误或请求无法实现 |
| 5xx | 服务端错误,服务器未能实现合法的请求 |
- 200 OK - 客户端请求成功
- 301 - 资源(网页等)被永久转移到其他 URL
- 302 - 临时跳转
- 401 Unauthorized - 请求未经授权
- 404 - 请求资源不存在,可能是输入了错误的 URL
- 500 - 服务器内部发生了不可预期的错误
- 504 Gateway Timeout - 网关或者代理的服务器无法在规定时间内获得想要的响应
RESTful API
RESTful API: 一种 API设计风格; REST - Representational State Transfer 表现层状态转化 (1) 每一个URL代表一种资源 (2) 客户端和服务器之前,传递这种资源的某种表现层 (3) 客户端通过 HTTP method,对这种服务器端资源进行操作,实现 "表现层状态转化"
常用请求头
| 请求头 | 说明 |
|---|---|
| Aceept | 接收类型,表示浏览器支持的 MIME 类型(对标服务器返回的 Content-Type) |
| Content-Type | 客户端发送出去实体内容的类型 |
| Cache-Control | 指定请求和响应遵循的缓存机制,如 no-cache |
| If-Modified-Since | 对应服务端的 Last-Modified,用来匹配看文件是否变动,只能精确到 1s 之内 |
| Expires | 缓存控制,在这个时间内不会请求,直接使用缓存,服务端时间 |
| Max-age | 代表资源在本地缓存多少秒,有效时间内不会请求,而是使用缓存 |
| If-None-Match | 对应服务端的 ETag,用来匹配文件内容是否改变(非常精确) |
| Cookie | 有 cookie 并且同域访问时会自动带上 |
| Referer | 该页面的来源 URL(使用于所有类型的请求,会精确到详细页面地址,CSRF拦截常用到这个字段) |
| Origin | 最初的请求是从哪里发起的(只会精确到端口),Origin 比 Referer 更尊重隐私 |
| User-Agent | 用户客户端的一些必要信息,如 UA 头部等 |
应用
缓存
强缓存
- Expires 时间戳
- Cache-Control
- 可缓存性
- no-cache: 协商缓存验证
- no-store: 不使用任何缓存
- 到期
- max-age: 单位是秒,存储的最大周期,相对于请求的时间
- 重新验证 * 重新加载
- must-revalidate: 一旦资源过期,在成功向原始服务器验证之前,不能使用
- 可缓存性
协议缓存
- Etag/If-None-Match: 资源的特定版本的标识符,类似于指纹
- Last-Modified/If-Modified-Since: 最后修改时间
Set-Cookie-response
| 键值对 | 说明 |
|---|---|
| Name=value | 各种 cookie 的名称和值 |
| Express=Date | Cookie 的有效期,缺省时 Cookie 仅在浏览器关闭之前有效 |
| Path=Path | 限制指定 Cookie 的发送范围的文件目录,默认为当前 |
| Dmain=domain | 限制 cookie 生效的域名,默认为创建 cookie 的服务域名 |
| secure | 仅在 HTTPS 安全连接时,才可以发送 Cookie |
| HttpOnly | JavaScript 脚本无法获得 Cookie |
| SameSite=[ None | Strict | Lax] | None 同站、跨站请求都可发送 Strict 仅在同站发送 允许于顶级导航一起发送,并将与第三方网站发起的 GET 请求一起发送 |
HTTPS
- HTTPS(Hypertext Transfer Protocol Secure),是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过加密传输和身份认证保证了传输过程的安全性。HTTPS 在 HTTP 的基础上加入 SSL。
- 对称加密:加密和解密都是使用同一个密钥。
- 非对称加密:加密和解密需要使用两个不同的密钥: 公钥(public key)和私钥(private key)
静态资源缓存
用户体验 -- 网络优化
用户体验 -- 稳定性
- 重试是保证稳定的有效手段,但要防止加剧恶劣情况
- 缓存合理使用,作为最后一道防线
了解更多
WebSocket
- 浏览器与服务器进行双全工通讯的网络技术
- 典型场景: 实时性要求高,例如聊天室
- URL 使用 ws:// 或 wss:// 等开头
QUIC: Quick UDP Internet Connection
- O-RTT 建联(首次建联除外)
- 类似 TCP 的可靠传输
- 类似 TLS 的加密传输,支持完美前向安全
- 用户空间的拥塞控制,最新的 BBR 算法
- 支持 h2 的基于流的多路复用,但没有 TCP 的 HOL 问题
- 前向纠错 FEC
- 类似 MPTCP 的 Connection migration
