Http知识总结

Http知识总结
原创itcats_cn 最后发布于2018-09-02 16:10:37 阅读数 386 收藏
展开
请求部分:
Http请求行分析:
Request URL: https://zhidao.baidu.com/ ------请求的url地址
Request Method: GET ------请求方式
Status Code: 200 OK ------响应状态码
Remote Address: 180.149.131.245:443 ------请求的ip地址与端口号
Referrer Policy: no-referrer-when-downgrade ------仅当发生协议降级
如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer 信息。这个规则是现在大部分浏览器默认所采用的;
 

Http请求头分析:
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 ------接受的请求类型
Accept-Encoding: gzip, deflate, br ------压缩格式
Accept-Language: zh-CN,zh;q=0.9 ------语言编码格式
Connection: keep-alive ------Http1.1默认是长连接,Http1.0默认是短连接
Cookie: BAIDUID=6F807D31BA059DA4BE0DE2416FB5838B:FG=1; BDUSS=xtYVhLb35adUhnREtFTFIwZ2ltUjNMOXRITFNNVUY3TGUwWnMwdERMdzQxNTliQVFBQUFBJCQAAAAAAAAAAAEAAAA-1LOmx9q33LXEwtyyt9Prv9MAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADhKeFs4SnhbN2; cflag=15%3A3; BIDUPSID=6F807D31BA059DA4BE0DE2416FB5838B; PSTM=1535862900; H_PS_PSSID=1463_21100_26350_22159
Host: zhidao.baidu.com ------host名称
Referer: http://news.baidu.com/ ------请求来源 企业用作白名单黑名单、防盗链
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
 
HttpServletRequest对象
//HttpServletRequest对象作用是用于获取请求数据。
//核心的API:
//请求行:
request.getMethod(); //请求方式
request.getRequetURI() //request.getRequetURL() 请求资源
request.getProtocol() //请求http协议版本

//请求头:
request.getHeader("名称") //根据请求头获取请求值
request.getHeaderNames() //获取所有的请求头名称

//实体内容:
request.getInputStream() //获取实体内容数据
 

 

请求资源
  URL:  统一资源定位符。http://localhost:8080/mall/login.html。只能定位互联网资源。是URI的子集。

 URI: 统一资源标记符。/mall/login.html。用于标记任何资源。可以是本地文件系统,局域网的资源(//192.168.4.65/myweb/index.html),可以是互联网资源。

 

什么是时间戳?
很多网站在发布版本之前,都会在URL请求地址后面加上一个实现戳进行版本更新,使用时间戳防止浏览器缓存。

因为一些静态资源在初次访问时候先会从服务器中获取资源(JS、图片、Css等),状态码为200。当第二次访问同样的资源时,若静态资源在本地浏览器已缓存(通过静态资源的请求地址来判断是否已缓存),返回状态码304。且第二次访问速度要比第一次快很多,因为省去了获取静态资源的时间,这是浏览器端的优化,它提高了响应速度,但也带来一些问题。当你发布新版本静态资源的时候,如你更新图片,但图片的名称与之前图片名称一致的话,浏览器不会向服务端获取图片,而是从本地缓存中得到图片。那么会导致用户无法查看到最新的图片资源。当然,可以通过清理缓存处理,更合适的做法是在静态资源后加入时间戳,那么每次发布后由于更新前后时间戳不同,最新的资源总会从服务器端获取。如<img src = "imgs/ads.png?t=2018-9-2"></img>

 

防止非法链接(referer)——防盗链
防止A网站通过非法链接,盗用B网站的资源。如B网站有一个图片资源为: www.b.com/imgs/a.png,那么通过设置防盗链后A网站不能直接访问盗用www.b.com/imgs/a.png资源。

 

以上就是从b.b.com中盗用了a.a.com的资源。

发生盗用的本质原因就是:Referer来源地址与Request URL请求地址不一致。

解决办法——防盗链机制

1、使用Java代码控制请求来源资源判断Referer,使用过滤器获取请求头的来源字段,判断Referer是否为a.a.com。

2、使用nginx反向代理解决防盗链

 

具体代码实现:

package cn.itcats;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class MyFilter implements Filter{
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("MyFilter被初始化了");
}

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
System.out.println("------------------doFilter------------------");
HttpServletRequest req = (HttpServletRequest) request ;
HttpServletResponse res = (HttpServletResponse) response;
//获取Referer
String referer = req.getHeader("Referer");
//获取请求的服务名称 a.a.com
String serverName = req.getServerName();
System.out.println("Referer:"+referer+" serverName:"+serverName);
//referer情况为不通过网站,直接访问图片,如 a.a.com/imgs/a.png
if(referer == null || ! referer.contains(serverName)){
//referer不包含serverName,为盗用,显示/imgs/error.png
req.getRequestDispatcher("error.png").forward(req, res);
return ;
}
//放行
chain.doFilter(req, res);
}

public void destroy() {

}

}
web.xml配置filter

<!-- 配置Filter -->
<filter>
<filter-name>MyFilter</filter-name>
<filter-class>cn.itcats.MyFilter</filter-class>
</filter>

<filter-mapping>
<filter-name>MyFilter</filter-name>
<url-pattern>/imgs/*</url-pattern>
</filter-mapping>
 

 

响应部分:
常见的响应头
Location: http://www.itcats.cn/index.jsp   -表示重定向的地址,该头和302的状态码一起使用。

Server:apache tomcat                                 ---表示服务器的类型

Content-Encoding: gzip                              -- 表示服务器发送给浏览器的数据压缩类型

Content-Length: 80                                     --表示服务器发送给浏览器的数据长度

Content-Language: zh-cn                           --表示服务器支持的语言

Content-Type: text/html; charset=GB2312   --表示服务器发送给浏览器的数据类型及内容编码

Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT  --表示服务器资源的最后修改时间

Refresh: 1;url=http://www.itcats.cn              --表示定时刷新

Content-Disposition: attachment; filename=aaa.zip --表示告诉浏览器以下载方式打开资源(下载文件时用到)

Transfer-Encoding: chunked

Set-Cookie:SS=Q0=5Lb_nQ; path=/search   --表示服务器发送给浏览器的cookie信息(会话管理用到)

Expires: -1                                                      --表示通知浏览器不进行缓存

Cache-Control: no-cache

Pragma: no-cache

Connection: close/Keep-Alive           -       -表示服务器和浏览器的连接状态。close:关闭连接 keep-alive:保存连接

 

状态码: 服务器处理请求的结果(状态)
常见的状态:

200:  表示请求处理完成并完美返回

302:   重定向

304:   读取本地缓存

403: 参数错误

404:   表示客户访问的资源找不到。

500:   表示服务器的资源发送错误。(服务器内部错误)

502: 正在发布
 

常用的响应API

//HttpServletResponse对象修改响应信息:
//响应行:
response.setStatus(int status) //设置状态码
//响应头:
response.setHeader("name","value") //设置响应头
//实体内容:
response.getWriter().writer(); // 发送字符实体内容
response.getOutputStream().writer() //发送字节实体内容
 

重定向实现原理
重定向的API:response.sendRedirect("ToServlet");本质上可以替换成下面这两句代码:

response.setStatus(302);
response.setHeader("Location", "ToServlet");
服务器设置状态码为302,且响应体中为key为"Location",浏览器通过判断状态码为302,寻找响应体中为"Location"的key,发送二次请求到ToServlet,完成重定向。本质上对服务器端进行了两次请求。

 

重定向与转发的区别:
request.getRequestDispatcher()是容器中控制权的转向,在客户端浏览器地址栏中不会显示出转向后的地址;服务器内部转发,整个过程处于同一个请求当中。
response.sendRedirect()则是完全的跳转,浏览器将会得到跳转的地址,并重新发送请求链接。这样,从浏览器的地址栏中可以看到跳转后的链接地址。不在同一个请求。重定向,实际上客户端会向服务器端发送两个请求。
所以转发中数据的存取可以用request作用域:request.setAttribute(), request.getAttribute(),重定向是取不到request中的数据的。只能用session。

forward()更加高效,在可以满足需要时,尽量使用RequestDispatcher.forward()方法。

RequestDispatcher是通过调用HttpServletRequest对象的getRequestDispatcher()方法得到的,是属于请求对象的方法。
sendRedirect()是HttpServletResponse对象的方法,即响应对象的方法,既然调用了响应对象的方法,那就表明整个请求过程已经结束了,服务器开始向客户端返回执行的结果。

重定向可以跨域访问,而转发是在web服务器内部进行的,不能跨域访问。
 

Http与Https区别
    1、https 协议需要到CA (Certificate Authority)申请证书,一般免费证书较少,因而需要一定费用。

 2、http 是超文本传输协议,信息是明文传输,https 则是具有安全性的 ssl 加密传输协议。

 3、http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。

 4、http 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 http 协议安全。

 

https工作原理?
我们都知道 HTTPS 能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议。

 客户端在使用 HTTPS 方式与 Web 服务器通信时有以下几个步骤,如图所示。

  (1)客户使用 https 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。

  (2)Web 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。

  (3)客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。

  (4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。

  (5)Web 服务器利用自己的私钥解密出会话密钥。

  (6)Web 服务器利用会话密钥加密与客户端之间的通信。

 

 
https优缺点?
 虽然说 HTTPS 有很大的优势,但其相对来说,还是存在不足之处的:

  (1)HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近 50%,增加 10% 到 20% 的耗电;

  (2)HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;

  (3)SSL 证书收费,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。

    (4)SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。

  (5)HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。

 

 

http长连接与短连接
长连接与短连接的操作过程 


通常的短连接操作步骤是: 
连接(三次握手)→数据传输→关闭连接(四次挥手);

而长连接通常就是: 
连接(三次握手)→数据传输→保持连接(心跳)→数据传输→保持连接(心跳)→……→关闭连接(四次挥手); 

这就要求长连接在没有数据通信时,定时发送数据包(心跳),以维持连接状态,
短连接在没有数据传输时直接关闭就行了

长连接什么时候关闭?
1、配置失效心跳检测时间,客户端没有继续建立连接,直接关闭。

2、客户端主动关闭

3、tomcat服务器配置长连接超时时间20分钟

4、设置响应头Keep-Alive: timeout。这个值能够让一些浏览器主动关闭连接,这样服务器就不必要去关闭连接了。

长连接和短连接的使用场景
长连接:Http1.1默认使用长连接,一般网址都是用长连接、rpc远程调用——dubbo底层通过netty使用长连接、移动端APP消息推送等。

短连接:调用别人的接口,使用不是特别频繁,一般使用短连接
————————————————
版权声明:本文为CSDN博主「itcats_cn」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/itcats_cn/article/details/82314541

posted on 2020-03-31 12:10  枫飞飞  阅读(213)  评论(0编辑  收藏  举报