【HTTP協議】---HTTP協議詳解

HTTP協議詳解

一.HTTP簡介                          

     1.HTTP協議，即超文本傳輸協議(Hypertext transfer protocol)。是一種詳細規定了瀏覽器和萬維網(WWW = World Wide Web)服務器之間互相通信的規則，通過因特網傳送萬維網文檔的數據傳送協議。

     2.HTTP協議作為TCP/IP模型中應用層的協議也不例外。HTTP協議通常承載於TCP協議之上，有時也承載於TLS或SSL協議層之上，這個時候，就成了我們常說的HTTPS。如下圖：

    3.HTTP是一個應用層協議，由請求和響應構成，是一個標准的客戶端服務器模型。HTTP是一個無狀態的協議。

    4.HTTP默認的端口號為80，HTTPS的端口號為443。

    5.瀏覽網頁是HTTP的主要應用，但是這並不代表HTTP就只能應用於網頁的瀏覽。HTTP是一種協議，只要通信的雙方都遵守這個協議，HTTP就能有用武之地。比如咱們常用的QQ，迅雷這些軟件，都會使用HTTP協議(還包括其他的協議)。

 

 二.HTTP特點                        

    1、簡單快速：客戶向服務器請求服務時，只需傳送請求方法和路徑。由於HTTP協議簡單，使得HTTP服務器的程序規模小，因而通信速度很快。

    2、靈活：HTTP允許傳輸任意類型的數據對象。正在傳輸的類型由Content-Type加以標記。

    3、HTTP 0.9和1.0使用非持續連接：限制每次連接只處理一個請求，服務器處理完客戶的請求，並收到客戶的應答后，即斷開連接。HTTP 1.1使用持續連接：不必為每個web對象創建一個新的連接，一個連接可以傳送多個對象，采用這種方式可以節省傳輸時間。

   4、無狀態：HTTP協議是無狀態協議。無狀態是指協議對於事務處理沒有記憶能力。缺少狀態意味着如果后續處理需要前面的信息，則它必須重傳，這樣可能導致每次連接傳送的數據量增大。另一方面，在服務器不需要先前信息時它的應答就較快。

  5、支持B/S及C/S模式。

 

三.HTTP工作流程                  

     一次HTTP操作稱為一個事務，其工作過程可分為四步：

   1.首先客戶機與服務器需要建立連接。只要單擊某個超級鏈接，HTTP的工作開始。
   2.建立連接后，客戶機發送一個請求給服務器，請求方式的格式為：統一資源標識符（URL）、協議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。
   3.服務器接到請求后，給予相應的響應信息，其格式為一個狀態行，包括信息的協議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務器信息、實體信息和可能的內容。
  4.客戶端接收服務器所返回的信息通過瀏覽器顯示在用戶的顯示屏上，然后客戶機與服務器斷開連接。
  如果在以上過程中的某一步出現錯誤，那么產生錯誤的信息將返回到客戶端，有顯示屏輸出。對於用戶來說，這些過程是由HTTP自己完成的，用戶只要用鼠標點擊，等待信息顯示就可以了。

 

四.HTTP之請求消息Request 

   客戶端發送一個HTTP請求到服務器的請求消息包括以下格式：

   請求行、請求頭部、空行和請求數據四個部分組成。

(1)Get請求例子

第一部分：請求行，用來說明請求類型,要訪問的資源以及所使用的HTTP版本.

GET說明請求類型為GET,[/562f25980001b1b106000338.jpg]為要訪問的資源，該行的最后一部分說明使用的是HTTP1.1版本。

第二部分：請求頭部，緊接着請求行（即第一行）之后的部分，用來說明服務器要使用的附加信息

從第二行起為請求頭部，HOST將指出請求的目的地.User-Agent,服務器端和客戶端腳本都能訪問它,它是瀏覽器類型檢測邏輯的重要基礎.該信息由你的瀏覽器來定義,並且在每個請求中自動發送等等

第三部分：空行，請求頭部后面的空行是必須的

即使第四部分的請求數據為空，也必須有空行。

第四部分：請求數據也叫主體，可以添加任意的其他數據。

這個例子的請求數據為空。

POST請求例子

 

第一部分：請求行，第一行明了是post請求，以及http1.1版本。
第二部分：請求頭部，第二行至第六行。
第三部分：空行，第七行的空行。
第四部分：請求數據，第八行。

 

 五.HTTP之響應消息Response

一般情況下，服務器接收並處理客戶端發過來的請求后會返回一個HTTP的響應消息。

HTTP響應也由四個部分組成，分別是：狀態行、消息報頭、空行和響應正文。

 

第一部分：狀態行，由HTTP協議版本號， 狀態碼， 狀態消息 三部分組成。

第一行為狀態行，（HTTP/1.1）表明HTTP版本為1.1版本，狀態碼為200，狀態消息為（ok）

第二部分：消息報頭，用來說明客戶端要使用的一些附加信息

第二行和第三行和第四行為消息報頭，
Date:生成響應的日期和時間；Content-Type:指定了MIME類型的HTML(text/html),編碼類型是ISO-8859-1

第三部分：空行，消息報頭后面的空行是必須的

第四部分：響應正文，服務器返回給客戶端的文本信息。

空行后面的html部分為響應正文。

 

 6.HTTP之狀態碼                   

狀態代碼有三位數字組成，第一個數字定義了響應的類別，共分五種類別:

1xx：指示信息--表示請求已接收，繼續處理

2xx：成功--表示請求已被成功接收、理解、接受

3xx：重定向--要完成請求必須進行更進一步的操作

4xx：客戶端錯誤--請求有語法錯誤或請求無法實現

5xx：服務器端錯誤--服務器未能實現合法的請求

常見狀態碼：

 

7.HTTP請求方法                  

根據HTTP標准，HTTP請求可以使用多種請求方法。
HTTP1.0定義了三種請求方法： GET, POST 和 HEAD方法。
HTTP1.1新增了五種請求方法：OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

 

8.HTTP工作原理                    

        HTTP協議定義Web客戶端如何從Web服務器請求Web頁面，以及服務器如何把Web頁面傳送給客戶端。HTTP協議采用了請求/響應模型。客戶端向服務器發送一個請求報文，請求報文包含請求的方法、URL、協議版本、請求頭部和請求數據。服務器以一個狀態行作為響應，響應的內容包括協議的版本、成功或者錯誤代碼、服務器信息、響應頭部和響應數據。

以下是 HTTP 請求/響應的步驟：

1、客戶端連接到Web服務器

一個HTTP客戶端，通常是瀏覽器，與Web服務器的HTTP端口（默認為80）建立一個TCP套接字連接。例如，http://www.oakcms.cn。

2、發送HTTP請求

通過TCP套接字，客戶端向Web服務器發送一個文本的請求報文，一個請求報文由請求行、請求頭部、空行和請求數據4部分組成。

3、服務器接受請求並返回HTTP響應

Web服務器解析請求，定位請求資源。服務器將資源復本寫到TCP套接字，由客戶端讀取。一個響應由狀態行、響應頭部、空行和響應數據4部分組成。

4、釋放連接TCP連接

若connection 模式為close，則服務器主動關閉TCP連接，客戶端被動關閉連接，釋放TCP連接;若connection 模式為keepalive，則該連接會保持一段時間，在該時間內可以繼續接收請求;

5、客戶端瀏覽器解析HTML內容

客戶端瀏覽器首先解析狀態行，查看表明請求是否成功的狀態代碼。然后解析每一個響應頭，響應頭告知以下為若干字節的HTML文檔和文檔的字符集。客戶端瀏覽器讀取響應數據HTML，根據HTML的語法對其進行格式化，並在瀏覽器窗口中顯示。

 

 9.GET和POST的區別      

     1、GET提交的數據會放在URL之后，以?分割URL和傳輸數據，參數之間以&相連，如EditPosts.aspx?name=test1&id=123456. POST方法是把提交的數據放在HTTP包的Body中.

     2、GET提交的數據大小有限制（因為瀏覽器對URL的長度有限制），而POST方法提交的數據沒有限制.

     3、GET方式需要使用Request.QueryString來取得變量的值，而POST方式通過Request.Form來獲取變量的值。

     4、GET方式提交數據，會帶來安全問題，比如一個登錄頁面，通過GET方式提交數據時，用戶名和密碼將出現在URL上，如果頁面可以被緩存或者其他人可以訪問這台機器，就可以從歷史記錄獲得該用戶的賬號和密碼.

 

 

HTTPS協議

一.為什么需要https                 

     1.HTTP是明文傳輸的，也就意味着，介於發送端、接收端中間的任意節點都可以知道你們傳輸的內容是什么。這些節點可能是路由器、代理等。

       舉個最常見的例子，用戶登陸。用戶輸入賬號，密碼，采用HTTP的話，只要在代理服務器上做點手腳就可以拿到你的密碼了。

       用戶登陸 --> 代理服務器（做手腳）--> 實際授權服務器

     2.在發送端對密碼進行加密？沒用的，雖然別人不知道你原始密碼是多少，但能夠拿到加密后的賬號密碼，照樣能登陸。(這也是很多人覺得前端加密並沒有啥軟用)

二.HTTPS是如何保障安全的    

     稍微了解網絡基礎的同學都知道，HTTP是應用層協議，位於HTTP協議之下是傳輸協議TCP。TCP負責傳輸，HTTP則定義了數據如何進行包裝。

        從上面圖中我們可以看出：HTTPS相對於HTTP有哪些不同呢？其實就是在HTTP跟TCP中間加多了一層加密層TLS/SSL。

神馬是TLS/SSL？

       通俗的講，TLS、SSL其實是類似的東西，SSL中文叫做“安全套接層”，SSL是個加密套件，負責對HTTP的數據進行加密。TLS是SSL的升級版。現在提到HTTPS，加密套件基本指的是TLS。

傳輸加密的流程

      原先是應用層將數據直接給到TCP進行傳輸，現在改成應用層將數據給到TLS/SSL，將數據加密后，再給到TCP進行傳輸。

      就是這么回事。將數據加密后再傳輸，而不是任由數據在復雜而又充滿危險的網絡上明文裸奔，在很大程度上確保了數據的安全。這樣的話，即使數據被中間節點截獲，壞人也看不懂。

 

三.HTTPS是如何加密數據的   

       一般來說，加密分為對稱加密、非對稱加密（也叫公開密鑰加密）。

       對稱加密的意思就是，加密數據用的密鑰，跟解密數據用的密鑰是一樣的。

       對稱內容加密強度非常高，一般破解不了。但存在一個很大的問題就是無法安全地生成和保管密鑰。假如客戶端軟件和服務器之間每次會話都使用固定的，相同的密鑰加密和解密，肯定存在很大的安全隱患。如果

有人從客戶端端獲取到了對稱密鑰，整個內容就不存在安全性了，而且管理海量的客戶端密鑰也是一件很復雜的事情。

     非對稱加密的意思就是，加密數據用的密鑰（公鑰），跟解密數據用的密鑰（私鑰）是不一樣的。

  什么叫做公鑰呢？其實就是字面上的意思——公開的密鑰，誰都可以查到。因此非對稱加密也叫做公開密鑰加密。

相對應的，私鑰就是非公開的密鑰，一般是由網站的管理員持有。

  公鑰、私鑰兩個有什么聯系呢？

  簡單的說就是，通過公鑰加密的數據，只能通過私鑰解開。通過私鑰加密的數據，只能通過公鑰解開。

  很多同學都知道用私鑰能解開公鑰加密的數據，但忽略了一點，私鑰加密的數據，同樣可以用公鑰解密出來。而這點對於理解HTTPS的整套加密、授權體系非常關鍵。

  非對稱密鑰交換很安全，但同時也是 HTTPS 性能和速度降低的“罪魁禍首”。