HTTP实用指南笔记|青训营

HTTP协议

什么是HTTP：Hyper TexT Transfer Protocol 超文本传输协议

Method

• GET：请求一个指定资源的表现形式，使用GET的请求应该只被用于获取数据。
• POST：用于将实体提交到指定的资源，通常导致在服务器上的状态变化或副作用。
• PUT：用于请求有效载荷替换目标资源的所有当前表示。
• DELETE：删除指定的资源。
• HEAD：请求一个与GET请求的响应相同的相应，但没有相应体。
• CONNECT：建立一个到由目标资源标识的服务器的隧道。
• OPTIONS：用于描述目标资源的通信选项。
• TRACE：沿着到目标资源的路径执行一个消息环回测试。
• PATCH：用于对资源应用部分修改。

状态码

• 1××：指示信息，表示请求已接收，继续处理。
• 2××：成功，表示请求已成功接收，理解。
• 3××：重定向，要完成请求必须进行更进一步的操作。
• 4××：客户端错误，请求有语法错误或请求无法实现。
• 5××：服务器端错误，服务器未能实现合法的请求。

例：

• 200：ok，客户端请求成功
• 301：资源（网页等）被永久转移到其他URL上
• 302：临时跳转
• 401 Unauthorized：请求未经授权
• 404：请求资源不存在，可能是输入了错误的URL
• 500：服务器发生了不可预期的错误
• 504 Gateway Timeout：网关或者代理的服务器无法在规定的时间内获得想要的响应。

常用请求头

• Accept：接收类型，表示浏览器支持的MIME类型。（对标服务器返回的Content-Type）
• Content-Type：客户端发送出去实体内容的类型
• Cache-Control：指定请求和响应遵循的缓存机制
• If-Modified-Since：对应服务端的Last-Modified用来匹配文件是否变动，只能精确到1s之内
• Expires：缓存控制，在这个时间内不会请求，直接使用缓存，服务端时间
• Max-age：代表资源在本地缓存多少秒，有效时间不会请求，而是使用缓存
• If-None-Match：对应服务端的ETag，用来匹配文件内容是否改变
• Cookie：有cookie并且同域访问时会自动带上
• Referer：该页面的来源URL（适用于所有类型的请求，会精确到详细页面地址，csrf拦截常用到这个字段）
• Origin：最初的请求是从哪里发起的（只会精确到端口），Origin比Referer更尊重隐私
• User-Agent：用户客户端的一些必要信息，如UA头

常用响应头

• Content-Type：服务端返回的实体内容的类型

• Cache-Control：指定请求和响应遵循的缓存机制

• Last-Modified：请求资源的最后修改时间

• Expires：应该在什么时候认为文档已经过期，从而不再缓存它

• Max-age：客户端的本地资源应该缓存多少秒，开启了Cache-Control后有效

• ETag：资源的特定版本的标识符，Etags类似于指纹

• set-Cookie：设置和页面关联的cookie.服务器通过这个头部把cookie传给客户端

• Server：服务器的一些相关信息

• Acess-Controb-Ahow-Origin：服务器端允许的请求origin头部

缓存

强缓存

• Expires,时间戳
• Cache-Cantrol
  • 可缓存性
    • no-cache:协商缓存验证
    • no-store:不使用任何缓存
  • 到期
    • max-age:单位是秒,存订请的天量最大周期，相对于请求的时间
  • 重新验证*重新加载
    • must-revalidate:一旦资源过期,在成功向原始服务器验证之前，不能使用。

协商缓存

• Etag/If-None-Match:资源的特声定版本的标识符,类似于指纹
• Last-Modified/If-Modified-since:最后修改时间

cookie

• set-Cookie-response
• Name = value：各种cookie的名称和值
• Expires = Date：Cookie的有效期,缺省时Cookie仅在浏览器关闭之间有效
• Path = Path：限制指定Cookie的发送范国的文件目录.默认为当前.
• Damain = domain：限制cookie生效的域名,默认为创建 cookie的服务域名
• secure：仅在HTTPS安全连接时.才可以发送Cookie
• HttpOnly ：Javascript脚本无法获得cookie
• Samesite =[Nont lstrictl Lax]：
  • None同站,跨站请求都可发送
  • strict 仅在同站发送
  • 允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送

HTTPS概述

经过TSL/SSL加密

• 对称加密:加密和解密都是使用同一个密钥.
• 非对称加密：加密和解密需要使用两个不同的密钥 公钥和私钥

跨域

• CORS(Cross-Origin Resource Sharing).

• 预请求：获知服务端是否允许该跨源请求(复杂请求）

• 相关协议头

  • Access-Cantrol-Ahow-Origin
  • Access-Cantrol-Expose-Headers
  • Access-Control-Max-Age
  • Access-Control-Albow-Credentials
  • Access-Controb-AHow-Methads
  • Access-Control-Abow-Headers
  • Access-Controb-Request-Metho
  • Origin

跨域解决方案

• CORS
• 代理服务器
  • 同源策略是浏览器的安全策略,不是HTTP的

AJAX之XHR

• XHR：XMLHttp Request
• readystate

UNSENT：合代理被创建，但尚未被调用open()方法

OPENED：open()方法

HEADERS-RECEIVED：send()方法经被调用，并且头部和状态已经可获得

LOADING：下载中；responseText属性已经包含部分数据.

DONE：下载操作已完成

AJAX之Fetch

• XMLHttpRequet 的升级版
• 使用Promise
• 模块化设计，Response，Request，Header对象
• 通过数据流处理对象，支持分块读取

QUIC：Quick UDP Internet Connection

• 0-RTT建联(首次建联除外)
• 类似TCP的可靠传输
• 类似TLS的如密传输，支持完美前向安全
• 用户空间的拥塞控制，最新的BBR算法
• 支持h2的基于流的多路复用，但没有TCP的HOL问题
• 前向纠错FEC
• 类似MPTCP的Comection migration