Http知识总结

原创itcats_cn 最后发布于2018-09-02 16:10:37 阅读数 386 收藏
展开
请求部分：
Http请求行分析：
Request URL: https://zhidao.baidu.com/ ------请求的url地址
Request Method: GET ------请求方式
Status Code: 200 OK ------响应状态码
Remote Address: 180.149.131.245:443 ------请求的ip地址与端口号
Referrer Policy: no-referrer-when-downgrade ------仅当发生协议降级
如 HTTPS 页面引入 HTTP 资源，从 HTTPS 页面跳到 HTTP 等）时不发送 Referrer 信息。这个规则是如今大部分浏览器默认所采用的；
 

Http请求头分析：
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 ------接受的请求类型
Accept-Encoding: gzip, deflate, br ------压缩格式
Accept-Language: zh-CN,zh;q=0.9 ------语言编码格式
Connection: keep-alive ------Http1.1默认是长链接,Http1.0默认是短链接
Cookie: BAIDUID=6F807D31BA059DA4BE0DE2416FB5838B:FG=1; BDUSS=xtYVhLb35adUhnREtFTFIwZ2ltUjNMOXRITFNNVUY3TGUwWnMwdERMdzQxNTliQVFBQUFBJCQAAAAAAAAAAAEAAAA-1LOmx9q33LXEwtyyt9Prv9MAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADhKeFs4SnhbN2; cflag=15%3A3; BIDUPSID=6F807D31BA059DA4BE0DE2416FB5838B; PSTM=1535862900; H_PS_PSSID=1463_21100_26350_22159
Host: zhidao.baidu.com ------host名称
Referer: http://news.baidu.com/ ------请求来源 企业用做白名单黑名单、防盗链
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
 
HttpServletRequest对象
//HttpServletRequest对象做用是用于获取请求数据。
//核心的API：
//请求行：
request.getMethod(); //请求方式
request.getRequetURI() //request.getRequetURL() 请求资源
request.getProtocol() //请求http协议版本

//请求头：
request.getHeader("名称") //根据请求头获取请求值
request.getHeaderNames() //获取全部的请求头名称

//实体内容:
request.getInputStream() //获取实体内容数据
 

 

请求资源
  URL:  统一资源定位符。http://localhost:8080/mall/login.html。只能定位互联网资源。是URI的子集。

 URI: 统一资源标记符。/mall/login.html。用于标记任何资源。能够是本地文件系统，局域网的资源（//192.168.4.65/myweb/index.html），能够是互联网资源。

 

什么是时间戳?
不少网站在发布版本以前，都会在URL请求地址后面加上一个实现戳进行版本更新，使用时间戳防止浏览器缓存。

由于一些静态资源在初次访问时候先会从服务器中获取资源(JS、图片、Css等)，状态码为200。当第二次访问一样的资源时，若静态资源在本地浏览器已缓存(经过静态资源的请求地址来判断是否已缓存)，返回状态码304。且第二次访问速度要比第一次快不少，由于省去了获取静态资源的时间，这是浏览器端的优化，它提升了响应速度，但也带来一些问题。当你发布新版本静态资源的时候，如你更新图片，但图片的名称与以前图片名称一致的话，浏览器不会向服务端获取图片，而是从本地缓存中获得图片。那么会致使用户没法查看到最新的图片资源。固然，能够经过清理缓存处理，更合适的作法是在静态资源后加入时间戳，那么每次发布后因为更新先后时间戳不一样，最新的资源总会从服务器端获取。如<img src = "imgs/ads.png?t=2018-9-2"></img>

 

防止非法连接(referer)——防盗链
防止A网站经过非法连接，盗用B网站的资源。如B网站有一个图片资源为: www.b.com/imgs/a.png，那么经过设置防盗链后A网站不能直接访问盗用www.b.com/imgs/a.png资源。

 

以上就是从b.b.com中盗用了a.a.com的资源。

发生盗用的本质缘由就是：Referer来源地址与Request URL请求地址不一致。

解决办法——防盗链机制

一、使用Java代码控制请求来源资源判断Referer，使用过滤器获取请求头的来源字段，判断Referer是否为a.a.com。

二、使用nginx反向代理解决防盗链

 

具体代码实现：

package cn.itcats;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class MyFilter implements Filter{
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("MyFilter被初始化了");
}

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
System.out.println("------------------doFilter------------------");
HttpServletRequest req = (HttpServletRequest) request ;
HttpServletResponse res = (HttpServletResponse) response;
//获取Referer
String referer = req.getHeader("Referer");
//获取请求的服务名称 a.a.com
String serverName = req.getServerName();
System.out.println("Referer:"+referer+" serverName:"+serverName);
//referer状况为不经过网站,直接访问图片,如 a.a.com/imgs/a.png
if(referer == null || ! referer.contains(serverName)){
//referer不包含serverName,为盗用,显示/imgs/error.png
req.getRequestDispatcher("error.png").forward(req, res);
return ;
}
//放行
chain.doFilter(req, res);
}

public void destroy() {

}

}
web.xml配置filter

<!-- 配置Filter -->
<filter>
<filter-name>MyFilter</filter-name>
<filter-class>cn.itcats.MyFilter</filter-class>
</filter>

<filter-mapping>
<filter-name>MyFilter</filter-name>
<url-pattern>/imgs/*</url-pattern>
</filter-mapping>
 

 

响应部分：
常见的响应头
Location: http://www.itcats.cn/index.jsp   -表示重定向的地址，该头和302的状态码一块儿使用。

Server:apache tomcat                                 ---表示服务器的类型

Content-Encoding: gzip                              -- 表示服务器发送给浏览器的数据压缩类型

Content-Length: 80                                     --表示服务器发送给浏览器的数据长度

Content-Language: zh-cn                           --表示服务器支持的语言

Content-Type: text/html; charset=GB2312   --表示服务器发送给浏览器的数据类型及内容编码

Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT  --表示服务器资源的最后修改时间

Refresh: 1;url=http://www.itcats.cn              --表示定时刷新

Content-Disposition: attachment; filename=aaa.zip --表示告诉浏览器如下载方式打开资源（下载文件时用到）

Transfer-Encoding: chunked

Set-Cookie:SS=Q0=5Lb_nQ; path=/search   --表示服务器发送给浏览器的cookie信息（会话管理用到）

Expires: -1                                                      --表示通知浏览器不进行缓存

Cache-Control: no-cache

Pragma: no-cache

Connection: close/Keep-Alive           -       -表示服务器和浏览器的链接状态。close：关闭链接 keep-alive:保存链接

 

状态码: 服务器处理请求的结果（状态）
常见的状态：

200：  表示请求处理完成并完美返回

302：   重定向

304：   读取本地缓存

403: 参数错误

404：   表示客户访问的资源找不到。

500：   表示服务器的资源发送错误。（服务器内部错误）

502: 正在发布
 

经常使用的响应API

//HttpServletResponse对象修改响应信息：
//响应行：
response.setStatus(int status) //设置状态码
//响应头：
response.setHeader("name","value") //设置响应头
//实体内容：
response.getWriter().writer(); // 发送字符实体内容
response.getOutputStream().writer() //发送字节实体内容
 

重定向实现原理
重定向的API：response.sendRedirect("ToServlet");本质上能够替换成下面这两句代码：

response.setStatus(302);
response.setHeader("Location", "ToServlet");
服务器设置状态码为302，且响应体中为key为"Location"，浏览器经过判断状态码为302，寻找响应体中为"Location"的key，发送二次请求到ToServlet，完成重定向。本质上对服务器端进行了两次请求。

 

重定向与转发的区别：
request.getRequestDispatcher()是容器中控制权的转向，在客户端浏览器地址栏中不会显示出转向后的地址；服务器内部转发，整个过程处于同一个请求当中。
response.sendRedirect()则是彻底的跳转，浏览器将会获得跳转的地址，并从新发送请求连接。这样，从浏览器的地址栏中能够看到跳转后的连接地址。不在同一个请求。重定向，实际上客户端会向服务器端发送两个请求。
因此转发中数据的存取能够用request做用域：request.setAttribute(), request.getAttribute()，重定向是取不到request中的数据的。只能用session。

forward()更加高效，在能够知足须要时，尽可能使用RequestDispatcher.forward()方法。

RequestDispatcher是经过调用HttpServletRequest对象的getRequestDispatcher()方法获得的，是属于请求对象的方法。
sendRedirect()是HttpServletResponse对象的方法，即响应对象的方法，既然调用了响应对象的方法，那就代表整个请求过程已经结束了，服务器开始向客户端返回执行的结果。

重定向能够跨域访问，而转发是在web服务器内部进行的，不能跨域访问。
 

Http与Https区别
    一、https 协议须要到CA (Certificate Authority)申请证书，通常免费证书较少，于是须要必定费用。

　二、http 是超文本传输协议，信息是明文传输，https 则是具备安全性的 ssl 加密传输协议。

　三、http 和 https 使用的是彻底不一样的链接方式，用的端口也不同，前者是 80，后者是 443。

　四、http 的链接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 http 协议安全。

 

https工做原理？
咱们都知道 HTTPS 可以加密信息，以避免敏感信息被第三方获取，因此不少银行网站或电子邮箱等等安全级别较高的服务都会采用 HTTPS 协议。

　客户端在使用 HTTPS 方式与 Web 服务器通讯时有如下几个步骤，如图所示。

　　（1）客户使用 https 的 URL 访问 Web 服务器，要求与 Web 服务器创建 SSL 链接。

　　（2）Web 服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

　　（3）客户端的浏览器与 Web 服务器开始协商 SSL 链接的安全等级，也就是信息加密的等级。

　　（4）客户端的浏览器根据双方赞成的安全等级，创建会话密钥，而后利用网站的公钥将会话密钥加密，并传送给网站。

　　（5）Web 服务器利用本身的私钥解密出会话密钥。

　　（6）Web 服务器利用会话密钥加密与客户端之间的通讯。

 

 
https优缺点？
　虽说 HTTPS 有很大的优点，但其相对来讲，仍是存在不足之处的：

　　（1）HTTPS 协议握手阶段比较费时，会使页面的加载时间延长近 50%，增长 10% 到 20% 的耗电；

　　（2）HTTPS 链接缓存不如 HTTP 高效，会增长数据开销和功耗，甚至已有的安全措施也会所以而受到影响；

　　（3）SSL 证书收费，功能越强大的证书费用越高，我的网站、小网站没有必要通常不会用。

　   （4）SSL 证书一般须要绑定 IP，不能在同一 IP 上绑定多个域名，IPv4 资源不可能支撑这个消耗。

　　（5）HTTPS 协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么做用。最关键的，SSL 证书的信用链体系并不安全，特别是在某些国家能够控制 CA 根证书的状况下，中间人攻击同样可行。

 

 

http长链接与短链接
长链接与短链接的操做过程 

一般的短链接操做步骤是： 
链接(三次握手)→数据传输→关闭链接(四次挥手)；

而长链接一般就是： 
链接(三次握手)→数据传输→保持链接(心跳)→数据传输→保持链接(心跳)→……→关闭链接(四次挥手)； 

这就要求长链接在没有数据通讯时，定时发送数据包(心跳)，以维持链接状态，
短链接在没有数据传输时直接关闭就好了

长链接何时关闭?
一、配置失效心跳检测时间，客户端没有继续创建链接，直接关闭。

二、客户端主动关闭

三、tomcat服务器配置长链接超时时间20分钟

四、设置响应头Keep-Alive: timeout。这个值可以让一些浏览器主动关闭链接，这样服务器就没必要要去关闭链接了。

长链接和短链接的使用场景
长链接：Http1.1默认使用长链接，通常网址都是用长链接、rpc远程调用——dubbo底层经过netty使用长链接、移动端APP消息推送等。

短链接：调用别人的接口，使用不是特别频繁，通常使用短链接————————————————版权声明：本文为CSDN博主「itcats_cn」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处连接及本声明。原文连接：https://blog.csdn.net/itcats_cn/article/details/82314541