这是我参与「第四届青训营」笔记创作活动的第4天

1.初识HTTP

什么是HTTP

Hyper Text Transfer Protocol(超文本传输协议)
应用层协议，基于TCP协议
请求响应
简单可扩展
无状态

2.协议分析

2.1发展历程

HTTP/0.9 单行协议
- 请求GET/mypage.html
- 响应只有HTML文件
HTTP/1.0 构建可扩展性
- 增加Header
- 有了状态码
- 支持多种文档类型
- ...
HTTP/1.1 标准化协议
- 链接复用
- 缓存
- 内容协商
- ...
HTTP/2 更优异的表现
- 二进制协议
- 压缩header
- 服务区推送
- ...

2.2报文

2.2.1 Method

GET : 请求一个指定资源的表达形式，使用GET的请求应该只被用于获取数据。

POST: 用于将实体提交到指定的资源，通常导致在服务器上的状态变化或副作用

PUT: 用请求有效载荷替换目标资源的所有当前表示

DELETE: 删除指定资源

HEAD: 请求一个GET请求的响应相同的响应，但没有响应体

CONNECT: 建立一个到由目标资源标识的服务器的隧道

OPTIONS: 用于描述目标资源的通信选项

TRACE: 沿着到目标资源的路径执行一个消息环回测试

PATCH: 对资源应用部分修改

Safe（安全的）:不会修改服务器的方法（GET, HEAD, OPTIONS）

idempotent（幂等）：同样的请求被执行一次与多次的效果是一样的，服务器的状态也是一样的（所有的safe的方法都是idempotent的）(GET HEAD OPTIONS PUT DELETE）

2.2.2 状态码

1xx ：指示信息，表示请求已接收，继续处理
2xx：成功，表示请求已被成功接收、理解、接受
3xx：重定向，要完成请求必须进行更近一步的操作
4xx：客户端错误，请求有语法错误或请求无法实现
5xx：服务器端错误，服务器未能实现合法的请求

2.2.3 常见状态码

200：-OK-客户端请求成功
301: -资源（网页等）被永久转移到其他URL
302：-临时跳转
401： Unauthorized - 请求未经授权
404：-请求资源不存在，可能是输入了错误的URL
500： -服务器内部发生了不可预期的错误
504： Gateway Timeout -网关或者代理的服务器无法在规定的时间内获取想要的响应。

2.2.4 RESTFul API

RESTFul API: 一种API设计风格；REST - Representational State Transfer

1.每一个URL代表一种资源；

2.客户端进而服务器之间，传递这种资源的某种表现层；

3、客户端通过HTTP method，对服务器端资源进行操作，实现“表现层状态转化”

2.2.5 常用请求头

Accept: 接收类型，表示浏览器支持的MIME类型（对标服务器返回的Conetent - Type）

Content - Type：客户端发送出去实体内容的类型

Cache - Control：指定请求和响应遵循的缓存机制，如no-cache

If - Modified - Since：对应服务器端的 Last - Modified，用来匹配看文件是否变动，只能精确到1s之内

Expires：缓存控制，在这个时间内不会请求，直接使用缓存，服务端时间

Max - age：代表资源在本地缓存多少秒，有效时间内不会请求，而使用缓存

If - None - Match：对应服务端的ETag，用来匹配文件内容是否改变（非常精确）

Cookie：有cookie并且同域访问时会自动带上

Referer：该页面的来源URL（适用于所有类型的请求，会精确到详细页面地址，csrf拦截常用到这个字段）

Origin：最初的请求是从哪里发起的（只会精确到端口），Origin比Referer更尊重隐私

User - Agent：用户客户端的一些必要信息，如UA头部等

2.2.6 常用的响应头

Content - Type：服务端返回的实体内容的类型

Cache - Control：指定请求和响应遵循的缓存机制，如no - cache

Last - Modified：请求资源的最后修改时间

Expires：应该在什么时候认为文档已经过期，从而不在缓存它

Max - age：客户端的本地资源应该缓存多少秒，开启了Cache - Control 后有效

ETag：资源的特定版本的标识符，Etags类似于指纹

Set - Cookie：设置和页面关联的cookie，服务器通过这个头部把cookie传给客户端

Server：服务器的一些相关信息

Access - Control - Allow - Origin：服务器端允许的请求Origin头部（比如为 * ）

2.2.7 缓存

强缓存

Expires，时间戳

Cache - Control

可缓存性

 no - cache：协商缓存验证
 no - store： 不使用任何缓存

到期

 max - age：单位是秒，存储的最大周期，相对于请求的时间

重新验证 * 重新加载

 must - revalidate: 一旦资源过期， 在成功向原始服务器验证之前，不能使用

协商缓存

Etag/If - Node - Match: 资源的特定版本的标识符，类似于指纹
Last - Modified/ If - Modified - Since：最后修改时间

QQ图片20220817220823.png

2.2.8 Cookie

Set - Cookie - response

Name = value ：各种cookie的名称和值

Expires = Date： Cookie的有效期，缺省是Cookie仅在浏览器关闭之前有效。

Path = Path ：限制指定Cookie 的发送范围的文件目录，默认为当前

Domain = domain ：限制cookie生效的域名，默认为创建cookie的服务域名

secure ：仅在HTTPS 安全连接时，才可以发送Cookie

HttpOnly ： JavaScript脚本无法获得Cookie

SameSite = [None | Strict | Lax]:

None同站、跨站请求都可发送
Strict 仅在同站发送
允许与顶级导航一起发送，并将与第三方网站发起的GET请求一起发送

2.3 发展

2.3.1 HTTP/2概述

1.帧（frame）：HTTP/2通信的最小单位，每个帧都包含帧头，至少也会标识出当前所属的数据流。

2.消息：与逻辑请求或响应消息对应的完整的一系列帧

3.数据流:已建立的连接内双向字节流，可以承载一条或多条消息。

4.HTTP/2连接时永久的，而且仅需要每个来源一个连接

5.控制流：阻止发送方向接收方发送大量数据的机制

2.3.2 HTTPS概述

1.HTTPS: Hypertext Transfer Protocol Secure

2.经过TSL/SSL加密

HTTP实用指南 | 青训营笔记