HTTP

什么是HTTP?

HTTP全称是HyperText  Transfer  Protocal,即超文本传输协议,从1990年开始就在WWW上广泛应用,是现今在WWW上应用最多的协议,HTTP是应用层协议,当你上网浏览网页的时候,浏览器和web服务器之间就会通过HTTP在Internet上进行数据的发送和接收。HTTP是一个基于请求/响应模式的、无状态的协议。即我们通常所说的Request/Response。其特点是:简单快速、无连接、无状态。

HTTP的常见方法

  • GET: 用于请求访问已经被URI(统一资源标识符)识别的资源,可以通过URL传参给服务器
  • POST:用于传输信息给服务器,主要功能与GET方法类似,但一般推荐使用POST方式。
  • PUT: 传输文件,报文主体中包含文件内容,保存到对应URI位置。
  • HEAD: 获得报文首部,与GET方法类似,只是不返回报文主体,一般用于验证URI是否有效。
  • DELETE:删除文件,与PUT方法相反,删除对应URI位置的文件。
  • OPTIONS:查询相应URI支持的HTTP方法。

HTTP的常见返回状态码

  • 200:请求被正常处理
  • 204:请求被受理但没有资源可以返回
  • 206:客户端只是请求资源的一部分,服务器只对请求的部分资源执行GET方法,相应报文中通过Content-Range指定范围的资源。
  • 301:永久性重定向
  • 302:临时重定向
  • 303:与302状态码有相似功能,只是它希望客户端在请求一个URI的时候,能通过GET方法重定向到另一个URI上
  • 304:发送附带条件的请求时,条件不满足时返回,与重定向无关
  • 307:临时重定向,与302类似,只是强制要求使用POST方法
  • 400:请求报文语法有误,服务器无法识别
  • 401:请求需要认证
  • 403:请求的对应资源禁止被访问
  • 404:服务器无法找到对应资源
  • 500:服务器内部错误
  • 503:服务器正忙

POST和GET的区别

  • GET在浏览器回退时是无害的,而POST会再次提交请求。

  • GET产生的URL地址可以被Bookmark,而POST不可以。

  • GET请求会被浏览器主动cache,而POST不会,除非手动设置。 

  • GET请求只能进行url编码,而POST支持多种编码方式。 

  • GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。

  • GET请求在URL中传送的参数是有长度限制的,而POST么有。

  • 对参数的数据类型,GET只接受ASCII字符,而POST没有限制。

  • GET比POST更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。

  • GET参数通过URL传递,POST放在Request body中。

  • GET产生一个TCP数据包;POST产生两个TCP数据包。(并不是所有浏览器都会在POST中发送两次包,Firefox就只发送一次)对于GET方式的请求,浏览器会把http header和data一并发送出去,服务器响应200(返回数据);而对于POST,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok(返回数据)。

Cookie和Session

概述:       

    由于HTTP协议是无连接的,服务器无法判别请求是否是“老用户”,这在某些应用场景的用户体验及其不好。这个时候,W3C组织提出了Cookie的概念,其实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。与之相对的,Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

安全性:

    由于Cookie存储在浏览器端(用户本地),很容易被别有用心的人截获。而session保存在服务端,其安全性更有保障,但由于性能所限,其内容应尽量精简。那么,如何解决Cookie的安全性问题?1. 设置cookie有效期不要过长,合适即可。2.设置HttpOnly属性为true,防止js读取。3. 设置复杂的cookie,加密cookie。4. 用户第一次登录时,保存ip+cookie加密后的token,每次请求,都去将当前cookie和ip组合起来加密后的token与保存的token作对比,只有完全对应才能验证成功。5. session和cookie同时使用sessionId虽然放在cookie中,但是相对的session更安全,可以将相对重要的信息存入session。6. 如果网站支持https,尽可能使用https

HTTP的安全性问题

HTTP 本身是明文传输的,没有经过任何安全处理。这就导致一些中间件(WIFI 热点,路由器,防火墙,反向代理,缓存服务器等)可以随意嗅探用户搜索内容,窃取隐私甚至篡改网页,从而达到对用户进行欺骗的目的。针对此问题,有了HTTPS。其有如下特点:
  • 内容加密。浏览器到服务器的内容都是以加密形式传输,中间者无法直接查看原始内容。
  • 身份认证。保证用户访问的是正确的服务,即使被 DNS 劫持到了第三方站点,也会提醒用户没有访问到目标服务,有可能被劫持
  • 数据完整性。防止内容被第三方冒充或者篡改。

 

 

 

 

posted @ 2019-04-01 10:40  励志一根草  阅读(442)  评论(0)    收藏  举报