HTTP協議和WEB應用
Web應用通常是指基於http的應用程序
HTTP協議簡介
• HTTP協議是HyperTextTransferProtocol(超文本傳輸協議)的縮寫是用於
從萬維網服務器傳輸超文本到本地瀏覽器的傳 送協議。
• HTTP是一個基於TCP/IP通信協議來傳遞數據(HTML文件,圖片文件,查詢結
果等)。
• HTTP是一個屬於應用層的協議,由於其簡捷、快速的方式,適用於分佈式
超媒體信息系統。
• 目前在WWW中使用的是HTTP/1.1。web2.0
• HTTP協議工作於客戶端-服務端架構(Client/S)爲上。瀏覽器作爲HTTP客
戶端通過URL向HTTP服務端即WEB服務器發 送所有請求。
• Web服務器根據接收到的請求後,向客戶端發送響應信息。
HTTP協議請求流程
HTTP處於TCP/IP協議層中的應用層
HTTP數據包請求結構
• 一個http數據包請求由4個部分組成:請求行、請求頭標、空行、請求數據。
• 1.請求行:請求行由三個標記組成:請求方法、請求URL和HTTP版本,它 們使用空格分隔。如:GET /www.xxxx.com/index.html HTTP/1.1
• 2.請求頭行:由關鍵字/值對組成,每一行頭,關鍵字和值用冒號(:)分隔。
• 3.空行:最後一個請求頭標之後是一個空行,發送回車符和退行,表示服 務器以下不再有頭標。
• 4.請求數據:使用post傳送數據,最常用的就是Content-Type和Content- Length頭標。
HTTP協議請求方法
• get:向特定資源發出請求(請求指定頁面信息,並返回實體主體);
• post:向指定資源提交數據進行處理請求(提交表單、上傳文件),又可能導致 新的資源的建立或原有資源的修改;
• head:與服務器索與get請求一致的相應,響應體不會返回,獲取包含在小消息 頭中的原信息(與get請求類 似,返回的響應中沒有具體內容,用於獲取報頭);
• put:向指定資源位置上上傳其最新內容(從客戶端向服務器傳送的數據取代指定文檔的內容),與post的區 別是put爲冪等,post爲非冪等;
• trace:回顯服務器收到的請求,用於測試和診斷。trace是http8種請求方式之中 最安全的
• delete:請求服務器刪除request-URL所標示的資源*(請求服務器刪除頁面)
• option:返回服務器針對特定資源所支持的HTML請求方法 或web服務器發送*測 試服務器功能(允許客戶 端查看服務器性能);
• connect : HTTP/1.1協議中能夠將連接改爲管道方式的代理服務器;
HTTP請求之get和post的區別
• 1.GET提交的數據會放在 URL之後,以?分割URL 和傳輸數據,參數 之間 以 &相連,如EditPosts.aspx?name=test1&id=123456。POST方法是把提交的 數據放在HTTP包的Body中;
• 2.GET提交的數據大小有限制(因爲瀏覽器對URL的長度有限制),而POST 方法提交的數據沒有限制;
• 3.GET方式需要使用Request.QueryString來取得變量的值,而POST方式通 過Request.Form來獲取變量的值;
• 4.GET方式提交數據,會帶來安全問題,比如一個登錄頁面,通過GET方式 提交數據時,用戶名和密碼將出現在URL上,如果頁面可以被緩存或者其 他人可以訪問這臺機器,就可以從歷史記錄獲得該用戶的賬號和密碼。
HTTP請求頭部解析
• Accept:用於指定客戶端接受哪些類型的信息。eg:Accept:image/gif;
• Accept-Charset:用於指定客戶端接受的字符集。eg:Accept-Charset:iso-8859-1,gb2312;
• Accept-Encoding:用於指定可接受的內容編碼。eg:Accept-Encoding:gzip.deflate;
• Accept-Language:用於指定一種自然語言。eg:Accept-Language:zh-cn;
• Authorization:用於證明客戶端有權查看某個資源。當瀏覽器訪問一個頁面時,如果收到服務器的響應代碼
爲401(未授權),可以發送一個包含Authorization請求報頭域的請求,要求服務器對其進行驗證;
• Host:用於指定被請求資源的Internet主機和端口號;
• User-Agent:允許客戶端將它的操作系統、瀏覽器和其它屬性告訴服務器。會造成個人信息泄露;
• Cookie:某些網站爲了辨別用戶身份、進行 session 跟蹤而儲存在用戶本地終端上的數據(通常經過加密);
• Referer:告知下一次請求服務器的來源頁面鏈接。
HTTP響應頭
• 1.狀態行:狀態行由三個部分組成;狀態行、響應頭標、空行、響應數據
• HTTP版本:向客戶端指明其可理解的最高版本。
• 響應代碼:3位數字代碼,指出請求的成功或失敗,如果失敗則指出原因。
• 響應描述:爲響應代碼的可讀性解釋。
• 例如:HTTP/1.1 200 OK
• 2.響應頭標:像請求頭標一樣,它們指出服務的功能,標識出響應數據的 細節。
• 3.空行:最後一個請求頭標之後是一個空行,發送回車符和退行,表示服 務器以下不再有頭標。
• 4.響應數據:HTML文檔和圖像等,也就是HTML本身。
HTTP響應狀態碼介紹
•-1xx:指示信息—表示請求已接收,繼續處理。
•-2xx:成功—表示請求已經被成功接收、理解、接受。
•-3xx:重定向—要完成請求必須進行更進一步的操作。
•-4xx:客戶端錯誤—請求有語法錯誤或請求無法實現。
•-5xx:服務器端錯誤—服務器未能實現合法的請求。
•200 OK:客戶端請求成功
•301 redirect:頁面永久性移走,服務器進行重定向跳轉;
•302 redirect:頁面暫時性移走,服務器進行重定向跳轉,具有被劫持的安全風險;
•400 BadRequest:由於客戶端請求有語法錯誤,不能被服務器所理解;
•401 Unauthonzed:請求未經授權。這個狀態代碼必須和WWW-Authenticate報頭域一起使用;
•403 Forbidden:服務器收到請求,但是拒絕提供服務。服務器通常會在響應正文中給出不提供 服務的原因, 一般來說是服務器策略基於安全考慮拒絕提供訪問;
•404 NotFound:請求的資源不存在,例如,輸入了錯誤的URL;
•500 InternalServerError:服務器發生不可預期的錯誤,導致無法完成客戶端的請求;
•503 ServiceUnavailable:服務器當前不能夠處理客戶端的請求,在一段時間之後,服務器可能 會恢復正常;
HTTP響應頭部分析
相應的響應頭用來描述服務器回給你對所返回的content的一些一些描述,我是什麼服務器,返回的是啥編碼, 返回的內容有多長等等。
Allow–對於特定資源的有效動作,例:Allow:GET,HEAD
Content-Encoding–響應資源所使用的編碼類型。例: Content-Encoding:gzip
Content-Language–響應就內容所使用的語言,例: Content-Language:zh-cn
Content-Length–響應消息體的長度,用8進制字節表示Content-Length:348
Content-Location–所返回的數據的一個候選位置,例: Content-Location:/index.htm
Content-Type–當前內容的MIME類型,例: Content-Type:text/html;charset=utf-8
Date–此條消息被髮送時的日期和時間(以RFC7231中定義的“HTTP日期”格式來表示),例:
Date:Tue,15Nov199408:12:31GMT
Expires–指定一個日期/時間,超過該時間則認爲此迴應已經過期,例: Expires:Thu,01Dec199416:00:00GMT
Location–用於在進行重定向,或在創建了某個新資源時使用,例: Location:http://www.itbilu.com/nodejs
Refresh–用於重定向,或者當一個新的資源被創建時。默認會在5秒後刷新重定向,例:
Refresh:5;url=http://itbilu.com
Server–服務器的名稱,例: Server:nginx/1.6.3
Set-Cookie–設置HTTPcookie,例: Set-Cookie:UserID=itbilu;Max-Age=3600;Version=1
的資源被創建時。默認會在5秒後刷新重定向,例:
Refresh:5;url=http://itbilu.com
Server–服務器的名稱,例: Server:nginx/1.6.3
Set-Cookie–設置HTTPcookie,例: Set-Cookie:UserID=itbilu;Max-Age=3600;Version=1
Status–通用網關接口的響應頭字段,用來說明當前HTTP連接的響應狀態。例: Status:200OK