HTTP介绍|青训营

lmm123
131 阅读10分钟

HTTP介绍

  • 超文本传输协议 Hyper Text Transfer Protocol
  • 应用层协议,基于TCP协议
  • 请求 响应
  • 简单可扩展
  • 无状态 HTTP发展

协议分析-发展

  1. HTTP/0.9单行协议:响应只有HTML文档;请求GET /mypage.html

2.HTTP/1.0 :构建可扩展性:有了状态码;增加了Header;支持多种文档类型

3.HTTP/1.1 标准化协议:链接复用;缓存;内容协商

4.HTTP/2 更优异的表现:服务器推送;二进制协议;压缩header

5.HTTP/3草案

协议分析

报文 1.起始行:承载信息 2.headers 3.实体信息(Requests要说明声明请求使用的方法,要访问的目标地址;Responses要说明返回处理请求的结果-状态码表示结果

Method

  • GET 请求一个指定资源的表示形式,使用GET的请求应该只被用于获取数据
  • POST 用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用
  • PUT 用请求有效载荷替换目标资源的所有当前表示
  • DELETE 删除指定的资源
  • HEAD 请求一个与GET请求的响应相同的响应,但没有响应体
  • CONNECT 建立一个到由目标资源标识的服务器的隧道。
  • OPTIONS 用于描述目标资源的通信选项。
  • TRACE 沿着到目标资源的路径执行一个消息环回测试。
  • PATCH 用于对资源应用部分修改。

Method特点

  • Safe(安全的):不会修改服务器的数据的方法;GET HEAD OPTIONS
  • Idempotent(幂等):同样的请求被执行一次与连续执行多次的效果是一样的,服务器的状态也是一样的; 所有safe的方法都是Idempotent的 :GET 、HEAD 、OPTIONS 、PUT 、DELETE

状态码

  • 1xx :指示信息,表示请求已接收,继续处理
  • 2xx:成功,表示请求已被成功接收、理解,接受
  • 3xx:重定向,要完成请求必须进行更进一步的操作
  • 4xx:客户端错误,请求无法实现或请求有语法错误
  • 5xx:服务器端错误,服务器未能实现合法的请求
  • 200 OK - 客户端请求成功
  • 301-资源(网页等)被永久转移到其它 URL
  • 302-临时跳转
  • 401 Unauthorized-请求未经授权
  • 404-请求资源不存在,可能是输入了错误的 URL
  • 500-服务器内部发生了不可预期的错误
  • 504 Gateway Timeout-网关或者代理的服务器无法在规定的时间内获得想要的响应。

RESTful API RESTful API:一种API设计风格;REST-Representational State Transfer

(1)每一个URI代表一种资源;

(2)客户端和服务器之间,传递这种资源的某种表现层;

(3)客户端通过HTTP method,对服务器端资源进行操作,实现"表现层状态转化”。

以下为请求对应的返回码及含义

1.GET /ZOOS 200 OK 列出所有动物园,服务器成功返回了

2.POST /ZOOS 201 CREATED 新建一个动物园,服务器创建成功

3.PUT/ZzOOS/ID 400 INVALID REQUEST 更新某个指定动物园的信息(提供该动物园的全部信息) 用户发出的请求有错误,服务器没有进行新建或修改数据的操作

4.DELETE /zoos/ID 204 NO CONTENT 删除某个动物园,删除数据成功

常用请求头

  • Accept 接收类型,表示浏览器支持的MIME类型(对标服务端返回的Content-Type)
  • Content-Type 客户端发送出去实体内容的类型
  • Cache-Control 指定请求和响应遵循的缓存机制,如no-cache
  • lf-Modified-Since对应服务端的Last-Modified,用来匹配看文件是否变动,只能精确到1s之内
  • Expires 缓存控制,在这个时间内不会请求,直接使用缓存,服务端时间
  • Max-age 代表资源在本地缓存多少秒,有效时间内不会请求,而是使用缓存
  • lf-None-Match 对应服务端的ETag,用来匹配文件内容是否改变(非常精确)
  • Cookie 有cookie并且同域访问时会自动带上
  • Referer 该页面的来源URL(适用于所有类型的请求,会精确到详细页面地址,csrf拦截常用到这个字段)
  • Origin 最初的请求是从哪里发起的(只会精确到端口),Origin比Referer更尊重隐私
  • User-Agent 用户客户端的一些必要信息,如UA头部等

常用响应头

  • Content-Type 服务端返回的实体内容的类型
  • Cache-Control 指定请求和响应遵循的缓存机制,如no-cache
  • Last-Modified 请求资源的最后修改时间
  • Expires 应该在什么时候认为文档已经过期,从而不再缓存它
  • Max-age 客户端的本地资源应该缓存多少秒,开启了Cache-Control后有效
  • ETag 资源的特定版本的标识符,Etags类似于指纹
  • Set-Cookie 设置和页面关联的cookie,服务器通过这个头部把cookie传给客户端
  • Server 服务器的一些相关信息
  • Access-Control-Allow-Origin 服务器端允许的请求Origin头部(譬如为*)

场景:缓存

  • 强缓存( 有资源就可以直接使用) ·Expires,时间戳 ·Cache-Control 1.可缓存性 2.no-cache :协商缓存验证 3.no-store:不使用任何缓存 4.到期 ·max-age:单位是秒,存储的最大周期,相对于请求的时间 •重新验证*重新加载 ·must-revalidate:一日资源过期,在成功向原始服务器验证之前,不能使用
  • 协商缓存 (有通信协商的过程,和服务端相匹配) ·Etag/If-None-Match:资源的特定版本的标识符,类似于指纹 ·Last-Modified/lf-Modified Since:最后修改时间

协议分析-发展 HTTP/2概述: 更快、更稳定、更简单 帧(frame):HTTP/2 通信的最小单位, 每个帧都包含帧头,至少也会标识出当前帧所属的数据流。

  • 二进制
  • 消息:与逻辑请求或响应消息对应的完整的一系列帧。
  • 数据流:已建立的连接内的双向字节流,可以承载一条或多条消息。
  • 交错发送,接收方重组织 HTTP/2 特性:1.连接都是永久的,而且仅需要每个来源一个连接 2.流控制:阻止发送方向接收方发送大量数据的机制
  • 3.服务器推送 (服务器主动给接收器提供信息) HTTPS概述
  • HTTPS:Hypertext Transfer;Protocol Secure
  • 经过TSL/SSL加密 •对称加密:加密和解密都是使用同一个密钥加密随机数 •非对称加密,加密和解密需要使用两个不同的密钥:公钥(public key) 和私钥 (private key)

cookie

  • Set-Cookie-response
  • Name=value 各种cookie的名称和值
  • Expires=Date Cookie 的有效期,缺省时Cookie仅在浏览器关闭之前有效。
  • Path=Path 限制指定Cookie 的发送范围的文件目录,默认为当前
  • Domain=domain 限制cookie生效的域名,默认为创建cookie的服务域名
  • secure 仅在HTTPS 安全连接时,才可以发送Cookie
  • HttpOnly JavaScript 脚本无法获得Cookie
  • SameSite=[None|Strict|Lax] None 同站、跨站请求都可发送;Strict 仅在同站发送;允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送

场景分析-静态资源

静态资源方案 •缓存+CDN+文件名hash •CDN : Content DeliveryNetwork (内容分发) •通过用户就近性和服务器负载的判断,CDN确 保内容以一种极为高效的方式为用户的请求提供服务

场景分析-登录

  • 业务场景 · 表单登录 •扫码登录
  • 技术方式 ·sso

场景分析-登录 "cross-origin" "same-origin" 结构:https://(scheme)www.example.com: (host name )443 (port)

场景分析-跨域 跨域

CORS(Cross-Origin Resource Sharing )

•预请求:获知服务端是否允许该跨源请求(复杂请求)

•相关协议头

· Access-Control-Allow-Origin

· Access-Control-Expose-Headers

· Access-Control-Max-Age

· Access-Control-Allow-Credentials

· Access-Control-Allow-Methods

· Access-Control-Allow-Headers

· Access-Control-Request-Method

·Access-Control-Request-Headers

·Origin

跨域解决方案 · CORS 代理服务器

· 同源策略是浏览器的安全策略,不是HTTP的

Iframe · 诸多不便

实战-浏览器篇 AJAX之XHR XHR:XMLHttpRequest • readyState 0 UNSENT 代理被创建,但尚未调用open() 方法。 1 OPENED open() 方法已经被调用。 2 RECEIVED HEADERS send() 方法已经被调用, 并且头部和状态已经可获得 3 LOADING 下载中;responseText 属 性已经包含部分数据。 4 DONE 下载操作已完成。

AJAX之Fetch ·XMLHttpRequet的升级版 •使用Promise •模块化设计,Response, Request,Header对象 •通过数据流处理对象,支持分块读取

实战-node篇 标准库:HTTP/HTTPS •默认模块,无需安装其他依赖 •功能有限/不是十分友好 常用的请求库:axios •支持浏览器、nodejs环境 · 丰富的拦截器

实战-用户体验

  • http2
  • DNS预解析
  • CDN 动态加速
  • 网络预连接
  • 域名(收敛;发散)
  • 压缩
  • HTTPS性能优化 稳定性
  • 重试是保证稳定的有效手段,但要防止加剧恶劣情况
  • 缓存合理使用,作为最后一道防线 稳定性: •重试机制 (超时;错误) •缓存 •数据安全 (HTTPS;劫持)

扩展-通信方式

  • WebSocket •浏览器与服务器进行全双工通讯的网络技术 •典型场景:实时性要求高,例如聊天室 •URL 使用 ws:// 或 wss:// 等开头

  • QUIC: Quick UDP Internet Connection 0-RTT 建联(首次建联除外)。 •类似TCP的可靠传输。

•类似TLS的加密传输,支持完美前向安全。

•用户空间的拥塞控制,最新的BBR算法。

•支持h2的基于流的多路复用, 但没有TCP的 HOL问题。

•前向纠错FEC。

•类似MPTCP的Connection migration

以下是对初学者的建议

1、了解基本概念:首先了解HTTP协议的基本概念,包括HTTP是什么、它的作用以及它在网络通信中的地位。

2、学习HTTP请求和响应:了解HTTP请求和响应的结构,包括请求方法(如GET、POST等)、URL、HTTP头部、请求体等。同时,学习HTTP响应的结构,包括状态码、响应头部、响应体等。

3、掌握HTTP方法:学习HTTP协议中的各种方法,如GET、POST、PUT、DELETE等,以及它们的作用和使用场景。

4、学习HTTP状态码:了解HTTP状态码的分类和含义,例如2xx表示成功,3xx表示重定向,4xx表示客户端错误,5xx表示服务器错误。

5、理解HTTP头部:学习HTTP头部的作用和常用的头部字段,如Content-Type、Content-Length等

6、学习HTTP版本:了解HTTP协议的发展历程和不同版本的特点,如HTTP/1.0、HTTP/1.1、HTTP/2等。

7、了解HTTPS:学习HTTPS(安全超文本传输协议)的概念、作用以及与HTTP的区别。了解如何使用SSL/TLS对HTTP通信进行加密。

8、实践与应用:通过编程练习和实际项目,使用HTTP协议进行网络通信。可以使用各种编程语言提供的HTTP库(如Python的requests库,Java的HttpClient等)进行实践。

9、阅读相关资料:阅读相关书籍、博客、文档和教程,以加深对HTTP协议的理解。推荐阅读《HTTP权威指南》这本书,它详细介绍了HTTP协议的原理和实践。

avatar
文章
阅读
粉丝