续颓废blog的HTTP协议文章

网络协议

HTTP协议详解

HTTP是一种无状态的协议。无状态是指Web浏览器与Web服务器之间不需要建立持久的连接，这意味着当客户端向服务端发送请求，然后Web服务器放回响应，连接就关闭了，在服务端不保留与连接有关的的信息，也就是说HTTP请求只能由客户端发起，服务器不能主动向客户端发送数据。

HTTP遵循发出请求->响应请求的模型，浏览器向服务器发送请求时，服务器处理请求并返回数据给客户端，如图：

HTTP请求与响应

<1>.HTTP请求
HTTP请求包括三部分，分别为请求头(消息报头)、请求行(请求方式)和请求正文。下面是一个HTTP请求的一个例子：

这个请求哪里看呢？可以在我们的审查元素中的网络可看，如下图：

POST /index.php HTTP/1.1     # 这是请求行，这里的POST是请求方式。
HOST: www.xxx.xxx            # 请求头
User-Agent:Mozilla/5.0 (Windows NT 10.0; …) Gecko/20100101 Firefox/59.0                 # 空白行，这个User-Agent是浏览器标识 
Name=free&pwd=iamfree        # 请求正文

HTTP响应

与请求头对应的是HTTP响应，HTTP响应也由三部分内容组成，分别为响应行、响应头(信息报头)和响应正文(消息主题)，下面是一个HTTP的响应：

HTTP请求方法

HTTP请求的方法有很多，其中GET、POST是最常用的，我们来列举一下这2个的区别:

• GET：

  • 

• POST:

  • 

HTTP状态码

当客户端发出HTTP请求，服务端接收后，会向客户端发送响应信息，状态码就是服务端返回的数据，比如像这样的：

状态码的类别：

• 1xx：信息提示，表示请求已被成功接收，继续处理，其范围在100~101。
• 2xx：成功，服务器成功处理了请求，其范围在200~206。
• 3xx：重定向，这个状态码是告诉我们，我们访问的资源已被移动，并告诉了客户端新的资源地址位置，这时，浏览器将重新对新资源发起请求，其范围在300~305。
• 4xx：客户端错误状态码，有时候客户端会发送一些服务端无法处理的东西(比如格式错误，资源不可用，403)，还有就是文件不存在，服务器找不到客户端发送的请求中的某个东西(404)，其范围为500~505。
• 5xx：有时客户端发送了一条有效的请求，可是服务器并没有正常返回数据内容，这可能是服务器本事的问题，如服务器运行出错，网站挂了等，5xx都是来表示服务器内部错误的，其范围为500~505。

常见的状态码描述：

• 200 OK 表示从客户端发来的请求在服务器端被正常处理了。
• 204 No Content 该状态码表示服务器接收的请求已成功处理，但在返回的响应报文中不含实体的主体部分。比如，当从浏览器发出请求处理后，返回204响应，那么浏览器显示的页面不发生更新。
• 206 Partial Content 该状态码表示客户端进行了范围请求，而服务器成功执行了这部分的GET请求。
• 301 Moved Permanently 永久性重定向。该状态码表示请求的资源已经被分配了新的URI，以后应使用资源现在所指的URI。 像下方给出的请求URI，当指定的资源路径的最后忘记添加斜杠"/"，就会产生301状态码
• 302 Found 临时性重定向。该状态码表示请求的资源已被分配了新的URI，希望用户(本次)能使用新的URI访问。

• 303 See Other 该状态码表示由于请求对应的资源存在另外一个URI，应使用GET方法定向获取请求的资源。 303状态码和302状态码有着相同的功能，但303状态码明确表明客户端应当采用GET方法获取资源。 当301，302，303响应状态码返回时，几乎所有的浏览器都会把POST改成GET，并删除请求报文的主体，之后请求会自动再次发送。 301，302标准是禁止将POST方法改变成GET方法的，但实际上使用时大家都会这么做

• 304 Not Modified 该状态码表示客户端发送附带条件的请求时，服务器端允许请求访问资源，但未满足条件的情况。304状态码返回时，不包含任何响应的主体部分。304虽然被划分在3XX类别中，但是和重定向没有关系。

• 307 Temporary Redirect 临时重定向。该状态码与302 Found有着相同的含义。307会遵照浏览器标准，不会从POST变成GET。

• 400 Bad Request 该状态码表示请求报文中存在语法错误。当错误发生时，需要修改请求的内容后再次放松请求。

• 401 Unauthorized 该状态码表示发送的请求需要有通过HTTP认证的认证信息，另外若之前已进行过1此请求，则表示用户认证失败。

• 403 Forbidden 该状态码表明对请求资源的访问被服务器拒绝了。

• 404 Not Found 该状态码表明服务器上无法找到请求的资源。除此之外，也可以在服务器端拒绝请求且不想说明理由时使用。

• 500 Internal Server Error 该状态码表明服务器端在执行请求时发生了错误。

• 503 Service Unavailable 该状态码表明服务器暂时处于超负载或正在进行停机维护，现在无法处理请求

HTTP消息

前面只讲了请求头的数据，并没有仔细拆分开来讲，现在我们来看下：

请求头只出现在HTTP请求中，请求报头允许客户端向服务器传递请求的附加信息和客户端自身的信息，讲几个常用的HTTP请求头，如下：

HTTP请求头：
1. HOST：
HOST请求报头域主要用于指定被请求资源的Internet主机好端口号，例如：HOST:www.chengyin.org
2. User-Agent:
请求报头域允许客户端将它的操作系统、浏览器和其他属性告诉服务区，形成了浏览器标识
3. Referer:
Referer包含一个URL，表示用户是从什么地方来到本页面的，比如我们刚刚在www.baidu.com，然后我们访问了www.chengyin.org，那么请求头中就会返回一个Referer:www.baidu.com，表示我们是从百度过来的。
4. Cookie：
Cookie相当是重要的请求头，他用来表示请求者身份，在后面的攻击中，如果攻击者获取了受害者的Cookie，那么攻击者不用输入登录的账号密码，凭借着受害者的Cookie就可以直接登录了。
5. Range:
Range可以请求实体的部分，多线程下载一定会用到此请求。

HTTP响应头：

响应头是服务器根据客户端发送过来的请求来向客户端发送的HTTP头，有点绕。

1. Server：
   服务器所使用的名称，比如：Server BWS/1.1
2. Set-Cookie:
   向客户端设置Cookie，通过查看此头，可以清楚看到服务器向客户端发送的Cookie信息。
3. Last-Modified：
   服务器通过这个头告诉浏览器，资源的最后修改时间。
4. Refresh：
   服务器通过Refresh头告诉浏览器定时刷新浏览器
5. 普通头：
   知道有这么一个东西存在即可(这是因为我也不知道这是啥，哈哈哈)

6. HTTP实体头：

7. Content-Type：
   用于向接收方指示实体的介质类型。

8. Content-Encoding：
   是一个实体消息首部，用于对特定媒体类型的数据进行压缩。当这个首部出现的时候，它的值表示消息主体进行了何种方式的内容编码转换。这个消息首部用来告知客户端应该怎样解码才能获取在 Content-Type 中标示的媒体类型内容。
9. Content-Length：
   用于指明实体正文的长度，以字节方式存储的数字表示。
10. Last-Modififed：
    用于指示资源最后的修改日期和时间。

HTTP协议和HTTPS协议的区别

• HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面
• 超文本传输协议 (HTTP-Hypertext transfer protocol) 是一种详细规定了浏览器和万维网服务器之间互相通信的规则，通过因特网传送万维网文档的数据传送协议。

主要区别:

• HTTP是超文本传输协议，信息是明文传输，HTTPS则是具有安全性的SSL加密传输协议。
• HTTP与HTTP协议使用的是不同的连接方式，HTTP采用80端口，HTTPS则是443端口(计算机上一共有65536个端口，只有1024之后的端口才是可随意使用的，1024之前的端口都用于系统使用了)。
• HTTP连接比HTTPS连接简单，是无状态的，而HTTPS是由SSL+HTTP协议构建的可进行加密传输、身份认证的协议，所以HTTPS比HTTP协议更安全一些。