http请求报文结构

http报文结构:

报文一般包括了: 通用头部请求/响应头部请求/响应体

通用头部

这也是开发人员见过的最多的信息,包括如下:

  • Request Url: 请求的web服务器地址

  • Request Method: 请求方式(Get、POST、OPTIONS、PUT、HEAD、DELETE、CONNECT、TRACE)

  • Status Code: 请求的返回状态码,如200代表成功

  • Remote Address: 请求的远程服务器地址(会转为IP)

譬如,在跨域拒绝时,可能是method为 options,状态码为 404/405等(当然,实际上可能的组合有很多)。

其中,Method的话一般分为两批次:

  • HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。

  • HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

这里面最常用到的就是状态码,很多时候都是通过状态码来判断,如(列举几个最常见的):

  • 200——表明该请求被成功地完成,所请求的资源发送回客户端

  • 304——自从上次请求后,请求的网页未修改过,请客户端使用本地缓存

  • 400——客户端请求有错(譬如可以是安全模块拦截)

  • 401——请求未经授权

  • 403——禁止访问(譬如可以是未登录时禁止)

  • 404——资源未找到

  • 500——服务器内部错误

  • 503——服务不可用

  • ...

再列举下大致不同范围状态的意义:

  • 1xx——指示信息,表示请求已接收,继续处理

  • 2xx——成功,表示请求已被成功接收、理解、接受

  • 3xx——重定向,要完成请求必须进行更进一步的操作

  • 4xx——客户端错误,请求有语法错误或请求无法实现

  • 5xx——服务器端错误,服务器未能实现合法的请求

总之,当请求出错时,状态码能帮助快速定位问题,完整版本的状态可以自行去互联网搜索。

请求/响应头部

请求和响应头部也是分析时常用到的。常用的请求头部(部分):

  • Accept: 接收类型,表示浏览器支持的MIME类型(对标服务端返回的Content-Type)

  • Accept-Encoding:浏览器支持的压缩类型,如gzip等,超出类型不能接收

  • Content-Type:客户端发送出去实体内容的类型

  • Cache-Control: 指定请求和响应遵循的缓存机制,如no-cache

  • If-Modified-Since:对应服务端的Last-Modified,用来匹配看文件是否变动,只能精确到1s之内,http1.0中

  • Expires:缓存控制,在这个时间内不会请求,直接使用缓存,http1.0,而且是服务端时间

  • Max-age:代表资源在本地缓存多少秒,有效时间内不会请求,而是使用缓存,http1.1中

  • If-None-Match:对应服务端的ETag,用来匹配文件内容是否改变(非常精确),http1.1中

  • Cookie:有cookie并且同域访问时会自动带上

  • Connection:当浏览器与服务器通信时对于长连接如何进行处理,如keep-alive

  • Host:请求的服务器URL

  • Origin:最初的请求是从哪里发起的(只会精确到端口),Origin比Referer更尊重隐私

  • Referer:该页面的来源URL(适用于所有类型的请求,会精确到详细页面地址,csrf拦截常用到这个字段)

  • User-Agent:用户客户端的一些必要信息,如UA头部等

常用的响应头部(部分):

  • Access-Control-Allow-Headers: 服务器端允许的请求Headers

  • Access-Control-Allow-Methods: 服务器端允许的请求方法

  • Access-Control-Allow-Origin: 服务器端允许的请求Origin头部(譬如为*)

  • Content-Type:服务端返回的实体内容的类型

  • Date:数据从服务器发送的时间

  • Cache-Control:告诉浏览器或其他客户,什么环境可以安全的缓存文档

  • Last-Modified:请求资源的最后修改时间

  • Expires:应该在什么时候认为文档已经过期,从而不再缓存它

  • Max-age:客户端的本地资源应该缓存多少秒,开启了Cache-Control后有效

  • ETag:请求变量的实体标签的当前值

  • Set-Cookie:设置和页面关联的cookie,服务器通过这个头部把cookie传给客户端

  • Keep-Alive:如果客户端有keep-alive,服务端也会有响应(如timeout=38)

  • Server:服务器的一些相关信息

一般来说,请求头部和响应头部是匹配分析的。

譬如,请求头部的 Accept要和响应头部的 Content-Type匹配,否则会报错。

譬如,跨域请求时,请求头部的 Origin要匹配响应头部的 Access-Control-Allow-Origin,否则会报跨域错误。

譬如,在使用缓存时,请求头部的 If-Modified-SinceIf-None-Match分别和响应头部的 Last-ModifiedETag对应。

还有很多的分析方法,这里不一一赘述。

请求/响应实体

http请求时,除了头部,还有消息实体,一般来说,请求实体中会将一些需要的参数都放入进入(用于post请求)。譬如实体中可以放参数的序列化形式( a=1&b=2这种),或者直接放表单对象( FormData对象,上传时可以夹杂参数以及文件),等等。

而一般响应实体中,就是放服务端需要传给客户端的内容。一般现在的接口请求时,实体中就是对于的信息的json格式,而像页面请求这种,里面就是直接放了一个html字符串,然后浏览器自己解析并渲染。

 

一张图解释http报文:

 

posted @ 2018-04-02 15:22  炫冰G爱  阅读(941)  评论(0编辑  收藏  举报