图解HTTP_3

HTTP首部

• HTTP请求报文首部

  • 请求行
  • 请求首部字段
  • 通用首部字段
  • 实体首部字段
  • 其他

• HTTP响应报文首部

  • 状态行
  • 响应首部字段
  • 通用首部字段
  • 实体首部字段
  • 其他

HTTP首部字段结构

• HTTP首部字段是由首部字段名和字段值构成的，中间用冒号”:”分隔。

首部字段名:字段值

• 4中HTTP首部字段类型
  HTTP首部字段根据实际用途被分为以下4种类型：
  
  • 通用首部字段（General Header Fields）
    请求报文和响应报文都会使用的首部
  • 请求首部字段（Request Header Fields）
    从客户端向服务器发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、响应内容相关优先级等信息。
  • 响应首部字段（Response Header Fields）
    从服务器端向客户端返回响应报文时使用的首部。补充了响应的附加内容，也会要求客户端附加额外的信息。
  • 实体首部字段（Entity Header Fields）
    针对请求报文和响应报文的实体部分使用的首部。补充了资源内容更新时间等与实体相关的信息。

确保Web安全的HTTPS

通信使用明文（不加密），内容可能会被窃听

• 通信的加密
  HTTP协议中没有加密机制，但可以通过和SSL或TLS的组合使用，加密HTTP的通信内容
  与SSL组合使用的HTTP被称为HTTPS或HTTP over SSL。

• 内容的加密

不验证通信方的身份，因此有可能遭遇伪装

SSL不仅提供加密处理，而且还使用了一种被称为证书的手段，可用于确定对方。证书由值得信任的第三方机构颁发，用以证明服务器和客户端是实际存在的。

无法证明报文的完整性，所以有可能已遭篡改

• 防止篡改
  常用的是MD5和SHA-1等散列值校验的方法，以及用来确认文件的数字签名方法。

HTTP+加密+认证+完整性保护=HTTPS

• HTTP加上加密处理和认证以及完整性保护后即是HTTPS

• HTTPS并非是一种新协议，只是HTTP通信接口部分用SSL和TLS协议代替而已。
  通常，HTTP直接和TCP通信。当时用SSL时，则演变成先和SSL通信，再由SSL和TCP通信了。所谓HTTPS，其实就是身披SSL协议这层外壳的HTTP。