HTTP詳解
HTTP(HyperTextTransferProtocol)即超文本傳輸協議,目前網頁傳輸的的通用協議。HTTP協議采用了請求/響應模型,瀏覽器或其他客戶端發出請求,服務器給與響應。就整個網絡資源傳輸而言,包括message-header和message-body兩部分。首先傳遞message- header,即http header消息 。http header 消息通常被分為4個部分:general header, request header, response header, entity header。但是這種分法就理解而言,感覺界限不太明確。根據維基百科對http header內容的組織形式,大體分為Request和Response兩部分。
當我們打開瀏覽器,在地址欄中輸入URL後,我們的瀏覽器給Web服務器發送了一個Request, Web服務器接到Request後進行處理,生成相應的Response,然後發送給瀏覽器, 瀏覽器解析Response中的HTML,這樣我們就看到了網頁。過程如下圖所示:
我們的Request 有可能是經過了代理服務器,最後才到達Web服務器的。過程如下圖所示:
代理服務器就是網絡信息的中轉站,有什麽功能呢?
1.設置用戶驗證和記賬功能,可按用戶進行記賬,沒有登記的用戶無權通過代理服務器訪問Internet網。並對用戶的訪問時間、訪問地點、信息流量進行統計。
2. 對用戶進行分級管理,設置不同用戶的訪問權限,對外界或內部的Internet地址進行過濾,設置不同的訪問權限。
3.增加緩沖器(Cache),提高訪問速度,對經常訪問的地址創建緩沖區,大大提高熱門站點的訪問效率。通常代理服務器都設置一個較大的硬盤緩沖區(可能高達幾個GB或更大),當有外界的信息通過時,同時也將其保存到緩沖區中,當其他用戶再訪問相同的信息時,則直接由緩沖區中取出信息,傳給用戶,以提高訪問速度。
4.連接內網與Internet,充當防火墻(Firewall):因為所有內部網的用戶通過代理服務器訪問外界時,只映射為一個IP地址,所以外界不能直接訪問到內部網;同時可以設置IP地址過濾,限制內部網對外部的訪問權限。
5.節省IP開銷:代理服務器允許使用大量的偽IP地址,節約網上資源,即用代理服務器可以減少對IP地址的需求,對於使用局域網方式接入Internet ,如果為局域網(LAN)內的每一個用戶都申請一個IP地址,其費用可想而知。但使用代理服務器後,只需代理服務器上有一個合法的IP地址,LAN內其他用戶可以使用10.*.*.*這樣的私有IP地址,這樣可以節約大量的IP,降低網絡的維護成本。
URL詳解
URL(Uniform Resource Locator) 地址用於描述一個網絡上的資源, 基本格式如下:
schema://host[:port#]/path/.../[?query-string][#anchor]
scheme | 指定低層使用的協議(例如:http, https, ftp) |
host | HTTP服務器的IP地址或者域名 |
port# | HTTP服務器的默認端口是80,這種情況下端口號可以省略。如果使用了別的端口,必須指明。(如:http://www.cnblogs.com:8080/) |
path | 訪問資源的路徑 |
query-string | 發送給http服務器的數據 |
anchor | 錨 |
例:
http://www.mywebsite.com/sj/test/test.aspx?name=sviergn&x=true#stuff
Schema: http
host: www.mywebsite.com
path: /sj/test/test.aspx
Query String: name=sviergn&x=true
Anchor: stuff
http請求方法(RequestMethod)
Http協議定義了8種與服務器交互的方法(標紅為最基本的4種),分別是:
- GET:
主要用於向指定的URL請求資源(資源文件或是數據均可), 可以帶參數也可以不帶參數, 帶參數時,參數是明文傳遞,你可以在瀏覽器的地址欄中看到參數名及參數值,GET安全性不高,所以常用於安全性要求低的場合, 比如登錄後請求數據。
經常使用GET提交方法,因為通過GET來提交表單沒有任何負面影響並且是冪等的。
從理論上講,如果請求具有冪等性就可以使用GET,所謂冪等是指多個請求返回相同的結果。
存在的問題:1)數據都明文暴露,用戶可以直接看到; 2)數據長度有限制(URL最大長度問題)
- HEAD
HEAD方法跟GET方法相同,只不過服務器響應時不會返回消息體。一個HEAD請求的響應中,HTTP頭中包含的元信息應該和一個GET請求的響應消息相同。這種方法可以用來獲取請求中隱含的元信息,而不用傳輸實體本身。也經常用來測試超鏈接的有效性、可用性和最近的修改。
一個HEAD請求的響應可被緩存,也就是說,響應中的信息可能用來更新之前緩存的實體。如果當前實體跟緩存實體的閾值不同(可通過Content-Length、Content-MD5、ETag或Last-Modified的變化來表明),那麽這個緩存就被視為過期了。
簡而言之
HEAD請求常常被忽略,但是能提供很多有用的信息,特別是在有限的速度和帶寬下。主要有以下特點:
1、只請求資源的首部;
2、檢查超鏈接的有效性;
3、檢查網頁是否被修改;
4、多用於自動搜索機器人獲取網頁的標誌信息,獲取rss種子信息,或者傳遞安全認證信息等 - POST
主要是向指定的URL(URI)提交數據, 通常用於表單發送,POST所傳遞的數據或參數不是已明文形式存在的,而是封裝後的,因此相對安全系數高,像註冊、登錄、提交表單都是用該方法實現的。
實際上,相應的服務器方法可能會以某種方式修改狀態,所以一般情況下這是不成立的,只是一種標準。GET與POST的區別在於所能攜帶信息的大小,在許多情況下,瀏覽器和服務器會限制URL的長度(GET利用URL向服務器發送數據)。一般來講,如果請求是從服務器獲取數據應該使用GET;換句話說,要避免通過GET方式改變服務器上的狀態。當改變服務器上的狀態時應該使用POST方法,POST不會限制發送給服務器的信息的大小,而且POST請求不能保證是冪等的。在實際開發過程中,大多數請求可能都是GET請求,不過如果需要,也完全可以使用POST。
- PUT
功能跟POST相似,用來將信息放到請求的URL上,PUT方法是冪等方法,POST非冪等方法,PUT在請求時容易造成數據冗余, 而POST則不然。 - CONNECT
CONNECT這個方法的作用就是把服務器作為跳板,讓服務器代替用戶去訪問其它網頁,之後把數據原原本本的返回給用戶。這樣用戶就可以訪問到一些只有服務器上才能訪問到的網站了,這就是HTTP代理。
它是需要使用TCP直接去連接的,所以不適合在網頁開發中使用,不過網頁開發中也用不到這玩意兒。
- DELETE
用於刪除請求URL上的某個資源, 該請求返回狀態有3種:
1) 200:表示刪除請求被成功執行,返回被刪除的資源
2) 202:表示刪除請求被接受,但還沒有被執行
3) 204:表示刪除請求被執行,但沒有返回被刪除的資源HTTP提供了一個與PUT方法對應的DELETE方法。一個DELETE請求將需要從Web服務器刪除的內容指定為請求行中的資源部分。
DELETE方法唯一有趣的地方在於當你接收了一個標識為200 OK的響應的時候,那並不意味著指定的資源已經被刪除了。那僅僅說明服務器接收到了刪除資源的命令。這一例外允許了出於安全考慮的人為的幹預。
- OPTIONS
OPTIONS請求方法的主要用途有兩個:
1) 獲取服務器支持的HTTP請求方法;也是黑客經常使用的方法。
2) 用來檢查服務器的性能。例如:AJAX進行跨域請求時的預檢,需要向另外一個域名的資源發送一個HTTP OPTIONS請求頭,用以判斷實際發送的請求是否安全。 - TRACE
TRACE_Method是HTTP(超文本傳輸)協議定義的一種協議調試方法,該方法會使服務器原樣返回任意客戶端請求的任何內容。
TRACE和TRACK是用來調試web服務器連接的HTTP方式。支持該方式的服務器存在跨站腳本漏洞,通常在描述各種瀏覽器缺陷的時候,把"Cross-Site-Tracing"簡稱為XST。攻擊者可以利用此漏洞欺騙合法用戶並得到他們的私人信息。(這個命令好怕怕,無知好嚇人啊)
查看原文請猛戳這裏
狀態碼(Status Code)
HTTP/1.1中定義了5類狀態碼, 狀態碼由三位數字組成,第一個數字定義了響應的類別。
1XX 提示信息 - 表示請求已被成功接收,繼續處理
2XX 成功 - 表示請求已被成功接收,理解,接受
3XX 重定向 - 要完成請求必須進行更進一步的處理
4XX 客戶端錯誤 - 請求有語法錯誤或請求無法實現
5XX 服務器端錯誤 - 服務器未能實現合法的請求
以下為詳解:
狀態代碼 | 狀態信息 | 含義 |
---|---|---|
100 | Continue | 初始的請求已經接受,客戶應當繼續發送請求的其余部分。(HTTP 1.1新) |
101 | Switching Protocols | 服務器將遵從客戶的請求轉換到另外一種協議(HTTP 1.1新) |
200 | OK | 一切正常,對GET和POST請求的應答文檔跟在後面。 |
201 | Created | 服務器已經創建了文檔,Location頭給出了它的URL。 |
202 | Accepted | 已經接受請求,但處理尚未完成。 |
203 | Non-Authoritative Information | 文檔已經正常地返回,但一些應答頭可能不正確,因為使用的是文檔的拷貝(HTTP 1.1新)。 |
204 | No Content | 沒有新文檔,瀏覽器應該繼續顯示原來的文檔。如果用戶定期地刷新頁面,而Servlet可以確定用戶文檔足夠新,這個狀態代碼是很有用的。 |
205 | Reset Content | 沒有新的內容,但瀏覽器應該重置它所顯示的內容。用來強制瀏覽器清除表單輸入內容(HTTP 1.1新)。 |
206 | Partial Content | 客戶發送了一個帶有Range頭的GET請求,服務器完成了它(HTTP 1.1新)。 |
300 | Multiple Choices | 客戶請求的文檔可以在多個位置找到,這些位置已經在返回的文檔內列出。如果服務器要提出優先選擇,則應該在Location應答頭指明。 |
301 | Moved Permanently | 客戶請求的文檔在其他地方,新的URL在Location頭中給出,瀏覽器應該自動地訪問新的URL。 |
302 | Found | 類似於301,但新的URL應該被視為臨時性的替代,而不是永久性的。註意,在HTTP1.0中對應的狀態信息是“Moved Temporatily”。出現該狀態代碼時,瀏覽器能夠自動訪問新的URL,因此它是一個很有用的狀態代碼。註意這個狀態代碼有時候可以和301替換使用。例如,如果瀏覽器錯誤地請求http://host/~user(缺少了後面的斜杠),有的服務器 返回301,有的則返回302。嚴格地說,我們只能假定只有當原來的請求是GET時瀏覽器才會自動重定向。請參見307。 |
303 | See Other | 類似於301/302,不同之處在於,如果原來的請求是POST,Location頭指定的重定向目標文檔應該通過GET提取(HTTP 1.1新)。 |
304 | Not Modified | 客戶端有緩沖的文檔並發出了一個條件性的請求(一般是提供If-Modified-Since頭表示客戶只想比指定日期更新的文檔)。服務器告 訴客戶,原來緩沖的文檔還可以繼續使用。 |
305 | Use Proxy | 客戶請求的文檔應該通過Location頭所指明的代理服務器提取(HTTP 1.1新)。 |
307 | Temporary Redirect | 和302 (Found)相同。許多瀏覽器會錯誤地響應302應答進行重定向,即使原來的請求是POST,即使它實際上只能在POST請求的應答是303時才能重定 向。由於這個原因,HTTP 1.1新增了307,以便更加清除地區分幾個狀態代碼:當出現303應答時,瀏覽器可以跟隨重定向的GET和POST請求;如果是307應答,則瀏覽器只 能跟隨對GET請求的重定向。(HTTP 1.1新) |
400 | Bad Request | 請求出現語法錯誤。 |
401 | Unauthorized | 客戶試圖未經授權訪問受密碼保護的頁面。應答中會包含一個WWW-Authenticate頭,瀏覽器據此顯示用戶名字/密碼對話框,然後在填 寫合適的Authorization頭後再次發出請求。 |
403 | Forbidden | 資源不可用。服務器理解客戶的請求,但拒絕處理它。通常由於服務器上文件或目錄的權限設置導致。 |
404 | Not Found | 無法找到指定位置的資源。這也是一個常用的應答。 |
405 | Method Not Allowed | 請求方法(GET、POST、HEAD、DELETE、PUT、TRACE等)對指定的資源不適用。(HTTP 1.1新) |
406 | Not Acceptable | 指定的資源已經找到,但它的MIME類型和客戶在Accpet頭中所指定的不兼容(HTTP 1.1新)。 |
407 | Proxy Authentication Required | 類似於401,表示客戶必須先經過代理服務器的授權。(HTTP 1.1新) |
408 | Request Timeout | 在服務器許可的等待時間內,客戶一直沒有發出任何請求。客戶可以在以後重復同一請求。(HTTP 1.1新) |
409 | Conflict | 通常和PUT請求有關。由於請求和資源的當前狀態相沖突,因此請求不能成功。(HTTP 1.1新) |
410 | Gone | 所請求的文檔已經不再可用,而且服務器不知道應該重定向到哪一個地址。它和404的不同在於,返回407表示文檔永久地離開了指定的位置,而 404表示由於未知的原因文檔不可用。(HTTP 1.1新) |
411 | Length Required | 服務器不能處理請求,除非客戶發送一個Content-Length頭。(HTTP 1.1新) |
412 | Precondition Failed | 請求頭中指定的一些前提條件失敗(HTTP 1.1新)。 |
413 | Request Entity Too Large | 目標文檔的大小超過服務器當前願意處理的大小。如果服務器認為自己能夠稍後再處理該請求,則應該提供一個Retry-After頭(HTTP 1.1新)。 |
414 | Request URI Too Long | URI太長(HTTP 1.1新)。 |
416 | Requested Range Not Satisfiable | 服務器不能滿足客戶在請求中指定的Range頭。(HTTP 1.1新) |
500 | Internal Server Error | 服務器遇到了意料不到的情況,不能完成客戶的請求。 |
501 | Not Implemented | 服務器不支持實現請求所需要的功能。例如,客戶發出了一個服務器不支持的PUT請求。 |
502 | Bad Gateway | 服務器作為網關或者代理時,為了完成請求訪問下一個服務器,但該服務器返回了非法的應答。 |
503 | Service Unavailable | 服務器由於維護或者負載過重未能應答。例如,Servlet可能在數據庫連接池已滿的情況下返回503。服務器返回503時可以提供一個 Retry-After頭。 |
504 | Gateway Timeout | 由作為代理或網關的服務器使用,表示不能及時地從遠程服務器獲得應答。(HTTP 1.1新) |
505 | HTTP Version Not Supported | 服務器不支持請求中所指明的HTTP版本。(HTTP 1.1新) |
HTTP Requests部分
Header | 解釋 | 示例 |
Accept | 指定客戶端能夠接收的內容類型 | Accept: text/plain, text/html |
Accept-Charset | 瀏覽器可以接受的字符編碼集 | Accept-Charset: iso-8859-5 |
Accept-Encoding | 指定瀏覽器可以支持的web服務器返回內容壓縮編碼類型 | Accept-Encoding: compress, gzip |
Accept-Language | 瀏覽器可接受的語言 | Accept-Language: en,zh |
Accept-Ranges | 可以請求網頁實體的一個或者多個子範圍字段 | Accept-Ranges: bytes |
Authorization | HTTP授權的授權證書 | Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== |
Cache-Control | 指定請求和響應遵循的緩存機制 | Cache-Control: no-cache |
Connection | 表示是否需要持久連接。(HTTP 1.1默認進行持久連接) | Connection: close |
Cookie | HTTP請求發送時,會把保存在該請求域名下的所有cookie值一起發送給web服務器 | Cookie: $Version=1; Skin=new; |
Content-Length | 請求的內容長度 | Content-Length: 348 |
Content-Type | 請求的與實體對應的MIME信息 | Content-Type: application/x-www-form-urlencoded |
Date | 請求發送的日期和時間 | Date: Tue, 15 Nov 2010 08:12:31 GMT |
Expect | 請求的特定的服務器行為 | Expect: 100-continue |
From | 發出請求的用戶的Email | From: [email protected] |
Host | 指定請求的服務器的域名和端口號 | Host: www.zcmhi.com |
If-Match | 只有請求內容與實體相匹配才有效 | If-Match: “737060cd8c284d8af7ad3082f209582d” |
If-Modified-Since | 如果請求的部分在指定時間之後被修改則請求成功,未被修改則返回304代碼 | If-Modified-Since: Sat, 29 Oct 2010 19:43:31 GMT |
If-None-Match | 如果內容未改變返回304代碼,參數為服務器先前發送的Etag,與服務器回應的Etag比較判斷是否改變 | If-None-Match: “737060cd8c284d8af7ad3082f209582d” |
If-Range | 如果實體未改變,服務器發送客戶端丟失的部分,否則發送整個實體。參數也為Etag | If-Range: “737060cd8c284d8af7ad3082f209582d” |
If-Unmodified-Since | 只在實體在指定時間之後未被修改才請求成功 | If-Unmodified-Since: Sat, 29 Oct 2010 19:43:31 GMT |
Max-Forwards | 限制信息通過代理和網關傳送的時間 | Max-Forwards: 10 |
Pragma | 用來包含實現特定的指令 | Pragma: no-cache |
Proxy-Authorization | 連接到代理的授權證書 | Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== |
Range | 只請求實體的一部分,指定範圍 | Range: bytes=500-999 |
Referer | 先前網頁的地址,當前請求網頁緊隨其後,即來路 | Referer: http://www.zcmhi.com/archives/71.html |
TE | 客戶端願意接受的傳輸編碼,並通知服務器接受接受尾加頭信息 | TE: trailers,deflate;q=0.5 |
Upgrade | 向服務器指定某種傳輸協議以便服務器進行轉換(如果支持) | Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11 |
User-Agent | User-Agent的內容包含發出請求的用戶信息 | User-Agent: Mozilla/5.0 (Linux; X11) |
Via | 通知中間網關或代理服務器地址,通信協議 | Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1) |
Warning | 關於消息實體的警告信息 | Warn: 199 Miscellaneous warning |
HTTP Responses部分
Header | 解釋 | 示例 |
---|---|---|
Accept-Ranges | 表明服務器是否支持指定範圍請求及哪種類型的分段請求 | Accept-Ranges: bytes |
Age | 從原始服務器到代理緩存形成的估算時間(以秒計,非負) | Age: 12 |
Allow | 對某網絡資源的有效的請求行為,不允許則返回405 | Allow: GET, HEAD |
Cache-Control | 告訴所有的緩存機制是否可以緩存及哪種類型 | Cache-Control: no-cache |
Content-Encoding | web服務器支持的返回內容壓縮編碼類型。 | Content-Encoding: gzip |
Content-Language | 響應體的語言 | Content-Language: en,zh |
Content-Length | 響應體的長度 | Content-Length: 348 |
Content-Location | 請求資源可替代的備用的另一地址 | Content-Location: /index.htm |
Content-MD5 | 返回資源的MD5校驗值 | Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ== |
Content-Range | 在整個返回體中本部分的字節位置 | Content-Range: bytes 21010-47021/47022 |
Content-Type | 返回內容的MIME類型 | Content-Type: text/html; charset=utf-8 |
Date | 原始服務器消息發出的時間 | Date: Tue, 15 Nov 2010 08:12:31 GMT |
ETag | 請求變量的實體標簽的當前值 | ETag: “737060cd8c284d8af7ad3082f209582d” |
Expires | 響應過期的日期和時間 | Expires: Thu, 01 Dec 2010 16:00:00 GMT |
Last-Modified | 請求資源的最後修改時間 | Last-Modified: Tue, 15 Nov 2010 12:45:26 GMT |
Location | 用來重定向接收方到非請求URL的位置來完成請求或標識新的資源 | Location: http://www.zcmhi.com/archives/94.html |
Pragma | 包括實現特定的指令,它可應用到響應鏈上的任何接收方 | Pragma: no-cache |
Proxy-Authenticate | 它指出認證方案和可應用到代理的該URL上的參數 | Proxy-Authenticate: Basic |
refresh | 應用於重定向或一個新的資源被創造,在5秒之後重定向(由網景提出,被大部分瀏覽器支持) | Refresh: 5; url= http://www.zcmhi.com/archives/94.html |
Retry-After | 如果實體暫時不可取,通知客戶端在指定時間之後再次嘗試 | Retry-After: 120 |
Server | web服務器軟件名稱 | Server: Apache/1.3.27 (Unix) (Red-Hat/Linux) |
Set-Cookie | 設置Http Cookie | Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1 |
Trailer | 指出頭域在分塊傳輸編碼的尾部存在 | Trailer: Max-Forwards |
Transfer-Encoding | 文件傳輸編碼 | Transfer-Encoding:chunked |
Vary | 告訴下遊代理是使用緩存響應還是從原始服務器請求 | Vary: * |
Via | 告知代理客戶端響應是通過哪裏發送的 | Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1) |
Warning | 警告實體可能存在的問題 | Warning: 199 Miscellaneous warning |
WWW-Authenticate | 表明客戶端請求實體應該使用的授權方案 | WWW-Authenticate: Basic |
HTTP詳解