这是我参与「第五届青训营 」伴学笔记创作活动的第 7 天

这篇文章重点讲述了HTTP协议的基本定义、主要特征、协议发展历程和报文结构。

一、初识HTTP

什么是HTTP协议

http(Hypertext transfer protocol)是超文本传输协议，通过浏览器和服务器进行数据交互，进行超文本传输的规定。

HTTP协议的特点

• 应用层协议，基于TCP协议
• 请求响应
• 简单可扩展
• 无状态

二、协议分析

协议发展

由单行协议HTTP/0.9到HTTP/3草案，协议在不断的完善和发展，性能更好。

报文

Method

• GET： 请求一个指定资源的表示形式使用GET的请求应该只被用于获取数据。
• POST： 用于将实体提交到指定的资源，通常导致在服务器上的状态变化或副作用。
• PUT： 用请求有效载荷替换目标资源的所有当前表示。
• DELETE： 删除指定的资源。
• HEAD： 请求一个与GET请求的响应相同的响应，但没有响应体。
• CONNECT： 建立一个到由目标资源标识的服务器的隧道。
• OPTIONS： 用于描述目标资源的通信选项。
• TRACE： 沿着到目标资源的路径执行一个消息环回测试。
• PATCH： 用于对资源应用部分修改。

状态码

• 200： OK-客户端请求成功。

• 301： 资源(网页等)被永久转移到其它URL。

• 302： 临时跳转。

• 401： Unauthorized -请求未经授权。

• 404： 请求资源不存在，可能是输入了错误的URL。

• 500： 服务器内部发生了不可预期的错误。

• 504： Gateway Timeout-网关或者代理的服务器无法在规定的时间内获得想要的响应。

RESTful API

RESTful API :一种API设计风格; REST - Representational State Transfer

• 每一个URI代表一种资源。
• 客户端和服务器之间，传递这种资源的某种表现层。
• 客户端通过HTTP method, 对服务器端资源进行操作，实现"表现层状态转化"。

常用请求头

• Accept： 接收类型，表示浏览器支持的MIME类型(对 标服务端返回的Content-Type)。
• Content-Type： 客户端发送出去实体内容的类型。
• Cache-Control： 指定请求和响应遵循的缓存机制，如no-cache。
• If-Modified-Since： 对应服务端的Last-Modified,用来匹配看文件是否变动，只能精确到1s之内。
• Expires： 缓存控制，在这个时间内不会请求，直接使用缓存，服务端时间。
• Max-age： 代表资源在本地缓存多少秒，有效时间内不会请求，而是使用缓存。
• If- None- Match： 对应服务端的ETag,用来匹配文件内容是否改变(非常精确)。
• Cookie： 有cookie并且同域访问时会自动带上。
• Referer： 该页面的来源URL(适用于所有类型的请求，会精确到详细页面地址，csrf拦截常用到这个字段)。
• Origin： 最初的请求是从哪里发起的(只会精确到端口) ,Origin比Referer更尊重隐私。
• User-Agent： 用户客户端的一些必要信息，如UA头部等。

常用响应头

• Content-Type： 服务端返回的实体内容的类型。
• Cache-Control： 指定请求和响应遵循的缓存机制，如no-cache。
• Last- Modified： 请求资源的最后修改时间。
• Expires： 应该在什么时候认为文档已经过期，从而不再缓存它。
• Max-age： 客户端的本地资源应该缓存多少秒，开启了Cache-Control后有效。
• ETag： 资源的特定版本的标识符，Etags类 似于指纹。
• Set-Cookie：： 设置和页面关联的cookie,服务器通过这个头部把cookie传给客户端。
• Server: 服务器的一些相关信息。
• Access-Control-Allow-Origin: 服务器端允许的请求Origin头部(譬如为*)。

缓存

强缓存

• Expires, 时间戳

• Cache-Control

  可缓存性

  no- cache：协商缓存验证

  no-store :不使用任何缓存

• 到期

  max-age :单位是秒，存储的最大周期，相对于请求的时间

• 重新验证*重新加载

  must-revalidate :一旦资源过期，在成功向原始服务器验证之前，不能使用

协商缓存

• Etag/If- None-Match :资源的特定版本的标识符，类似于指纹
• Last- Modified/lf- Modified-Since :最后修改时间

cookie

Set- Cookie - response

• Name=value： 各种cookie的名称和值

• Expires=Date： Cookie的有效期，缺省时Cookie仅在浏览器关闭之前有效。

• Path=Path： 限制指定Cookie的发送范围的文件目录，默认为当前

• Domain=domain： 限制cookie生效的域名，默认为创建cookie的服务域名

• secure： 仅在HTTPS安全连接时，才可以发送Cookie

• HttpOnly： JavaScript脚本无法获得Cookie

• SameSite=[None|Strict|Lax]

  None同站、跨站请求都可发送

  Strict仅在同站发送

  允许与顶级导航一起发送，并将与第三方网站发起的GET请求一-起发送

发展

HTTP/2概述:更快、更稳定、更简单

• 帧(frame) : HTTP/2通信的最小单位,每个帧都包含帧头，至少也会标识出当前帧所属的数据流。
• 二进制

• 消息:与逻辑请求或响应消息对应的完整的一系列帧。
• 数据流:已建立的连接内的双向字节流,可以承载一条或多条消息。
• 交错发送，接收方重组织

• HTTP/2连接都是永久的，而且仅需要每个来源一个连接
• 流控制:阻止发送方向接收方发送大量数据的机制

HTTPS概述

• HTTPS : Hypertext Transfer Protocol Secure
• 经过TSL/SSL加密
• 对称加密:加密和解密都是使用同一个密钥
• 非对称加密，加密和解密需要使用两个不同的密钥:公钥(public key)和私钥(private key)

三、总结

通过对课程的学习和笔记的整理，我对HTTP有了一个基本的了解，它在工作时首先客户与服务器建立连接，客户向服务器提出请求，服务器接受请求，并根据请求返回相应的文件作为应答，最后客户与服务器关闭连接。我认为有了HTTP才能可靠地数据传输协议，能够确保数据在传输过程中不发生混乱，它对于数据传输的作用真的非常大。