首页 热点资讯 义务教育 高等教育 出国留学 考研考公
您的当前位置:首页正文

【图解HTTP】- 上野宣

2024-12-20 来源:化拓教育网

简单有趣的方式讲述了HTPP,图灵出品,还是很不错的;简单阅读一下,掌握基础知识;

了解Web及网络基础

  • 1 客户端使用 URL 获取服务器文件资源。(使用HTTP协议访问Web)

  • 2 HTML:页面的文本标记语言;HTTP:文本传递协议;URL:指定文档所在地址;

  • 3 TCP/IP:互联网相关的各类协议族的总称;包括:应用层,传输层,网络层,链路层;
    应用层:向用户提供应用服务时通信的活动,FTP和DNS是其中两大类服务,(HTTP也属于该层);
    传输层:对应用层提供网络连接中的2台计算机之间的数据传输,TCP和UDP两种不同的协议;
    网络层:处理网络上流动的数据包,在传输时选择一条传输路线,IP协议;
    链路层:处理连接网络的硬件部分;
    举个例子:发送端发送 A 数据(应用层)-> 添加TCP头(传输层) -> 添加IP头(网络层) -> 添加以太网头(链路层) -> 接收端反向操作,去除以太网头(网络层) -> 去除IP头(网络层) -> 去除TCP头(传输层)-> 获得 A数据;

  • 4 IP协议:把数据传输给对方,但是确保送达需要很多条件,最重要的2个是IP地址和MAC地址;
    ARP协议:解析地址,根据 IP可以反查MAC地址;
    具体传输有点类似快递,需要多次使用路由器做中转;

  • 5 TCP协议:提供可靠的字节流服务;1 分割数据成报文段位单位的数据包;2 能确定数据是否送达;
    确保数据送达:TCP三次握手,

  • 6 DNS服务:域名解析,IP地址与域名的转换;

简单的HTTP协议

  • 1 HTTP协议:用于客户端与服务端之间的通信;客户端发送请求,服务端响应;HTTP本身没有持久化处理,但是使用Cookie可以管理状态;

  • 2 请求URI定位资源

  • 3 HTTP方法:GET获取,POST传输实体主体,PUT传输文件,HEAD获得报文首部,DELETE删除文件,OPTIONS询问支持的方法,TRACE追踪路径(不用),CONNECT要求使用隧道协议连接代理

  • 4 HTTP长连接,建立一次连接,就可以发送请求的资源,不用每次请求都重新连接并断开;管线化,并行发送多个请求;

  • 5 Cookie:再请求响应后,服务端会返回一个cookie,如果客户端保存,那么下次请求时会添加cookie,那么服务端就会知道是哪个客户端了。

HTTP报文内的HTTP信息

  • 1 HTTP报文:报文首部 + (CR+LF) + 报文主体
    请求报文:报文首部(请求行,各种首部字段,其他)
    响应报文:状态行,各种首部字段,其他)

  • 2 编码提升传输速率:压缩传输的内容编码(gzip,compress,deflate,identity);分割发送的分块传输编码;

  • 3 获取部分内容的范围请求:添加 Range:bytes=5000-

  • 4 内容协商返回合适内容:比如对应显示中英文;

返回结果的HTTP状态吗

  • 1 状态吗类别:
    1XX:Informational(信息性状态码):接受的请求正在处理
    2XX:Success(成功状态码):请求正常处理完毕
    3XX:Redirection(重定向状态码):需要进行附加操作以完成请求
    4XX:Client Error(客户端错误状态码):服务器无法处理请求
    5XX:Server Error(服务器错误状态码):服务器处理请求出错

  • 2XX:成功
    200:正常处理
    204:没有资源
    206:范围请求

  • 3XX:重定向
    301:资源URI更新
    304:资源已找到,但是不符合条件请求

  • 4XX:客户端错误
    400:语法错误
    401:第一次401,需要认证;第二次401,认证失败
    403:资源拒绝访问
    404:没有请求的资源

  • 5XX:服务器错误
    500:内部资源异常
    503:暂时无法处理(可能超负载或者维护中)

与HTTP协作的Web服务器

  • 1 通信数据转发程序:代理、网关、隧道
    代理:客户端与服务器的中间人,处理信息交换,主要存在两类:缓存代理,透明代理(不修改报文)
    网关:转发其他服务器通信数据的服务器,能提供非HTTP的服务,网关可以提高通信安全
    隧道:客户端与服务器中转,可以使用SSL等加密手段通信

  • 2 资源缓存:使用缓存代理实现,提示缓存有时限;客户端也可以实现缓存;

HTTP首部

  • 通用首部
    Cache-Control:缓存机制,指令有很多种;
    Connection:控制不在转发给代理的首部字段,管理持久连接;
    Date:表示创建HTTP报文的日期和时间;
    Pragma:1.0遗留字段;no-cache(与Cache-Control的一个字段一样)
    Trailer:
    Transfer-Encoding:传输报文主题的编码方式
    UUpgrade:检测HTTP等协议是否可用更高的版本进行通信;
    Via:追踪传输路径;
    Warning:告知一些缓存相关的警告;

  • 请求首部字段:补充请求附加信息、对响应内容相关的优先级等;
    Accept:返回资源格式与优先级;
    Accept-Charset:字符集与优先级;
    Accept-Encoding:内容编码与优先级;
    Accept-Language:自然语言集与优先级;
    Authorization:授权信息;
    Expect:
    From:邮箱地址(也有可能再User-Agent字段内);
    Host:主机(与单台服务器分配多个域名的虚拟主机有关)
    If-Match:字段值与资源的ETag值一致时,才处理请求;
    If-None-Match:与If-Match相反;
    If-Modified-Since:指定的日期之后,资源发送变化,才处理请求;
    If-Unmodified-Since:与If-Modified-Since相反;
    If-Range:先判断字段是否与资源的ETag或者更新日期是否匹配,一致则根据Range字段处理请求,不一致则忽略Range字段,返回全部资源;节省了一步If-March
    Max-Forwards:最多转发次数,数值变为0是返回响应;
    Proxy-Authorization:代理服务器认证;
    Range:部分资源;
    Referer:请求原始资源URI;
    TE:传输编码方式与优先级;
    User-Agent:表示浏览器种类,也会添加代理服务器名称;

  • 响应首部字段:补充响应的附加信息、服务器信息、以及客户端附加要求等;
    Accept-Ranges:告知请求范围是否正常;
    Age:源服务器上次响应时间间隔;
    ETag:资源唯一标识;
    Location:引导至另一个位置的资源;(重定向相关)
    Proxy-Authenticate:与请求类似
    Retry-After:多久后再次尝试;
    Server:当前HTTP服务器信息;
    Vary:对应的Accept-Language,

  • 实体首部字段:补充内容的更新时间等;
    Alllow:支持请求方法;
    Content-Encoding:实体的主体部分编码方式;
    Content-Language:实体的主体自然语言;
    Content-Length:实体的主体大小;
    Content-Location:主体返回资源的URI;
    Content-MD5:主体MD5
    Content-Range:主体内容范围 与 实体大小;
    Content-Type:主体对象类型;
    Expires:资源失效日期;
    Last-Modified:资源最后修改时间;

  • Cookie服务的首部
    SetCookie
    Cookie

  • 其他

HTTPS

HTTPS = HTTP + 加密 + 认证 + 完整性保护

  • HTTP 通信使用明文,可能被窃听;
    通信加密:使用SSL或者TLS与HTTP组合使用,使用SSL的就是所说的 HTTPS;
    内容加密:对报文内容加密后发送;

  • HTTP 不验证通信方的身份,可能遭遇伪装;
    任何人可以发起请求,存在安全隐患;
    通过SSL,使用证书,验证通信方身份;

  • HTTP 无法验证报文完整性,可能遭篡改;
    通过SSL,生成摘要,防篡改;

  • HTTPS 混合加密机制:1 非对称加密验证身份可靠,并传输对称加密密钥K;2 使用对称加密进行通信(对称加密处理速度相对比非对称快)

  • 数字证书:(非对称加密)1 服务器A 向证书认证机构P 提出公钥申请,确认之后机构P会对服务器A的公钥做数字签名(也是非对称加密),再放入公钥证书C;2 服务器会将公钥证书C发送给客户端,客户端需要验证证书C的可靠性,所有在这里浏览器本身植入了机构P的公钥X,客户端向机构P对证书C的签名验证真实性; 3 客户端使用服务器公钥C对报文加密后发送(通信);

  • EV SSL 证书:验证了运营组织的真实性,比一般的更加可靠;

  • 认证机构:信誉第一,需要绝对可靠的信用(比如google 就是 由 google 签名的。)
    另外还有自签名证书和中级证书,可靠程度一般;

  • HTTPS 通信流程:1 客户端发送开始连接(包含基本数据);2 服务端发送1的回应数据,再发送证书,最后发送第一次握手结束;3 客户端使用收到的公钥,加密一个随机生成的密钥,发送给服务器,再发送通知消息表示以后使用这个密钥通信,随后发送已完成;4 服务器同3发送数据给客户端,完成SSL连接;5之后通信使用HTTP,但是已经有SSL保护;

  • SSL 与 TLS:TLS是以SSL为原型设计; 统称SSL;

  • HTTPS 速度比 HTTP 慢 2-100 倍,主要由于通信慢 与 加解密处理速度慢;

确认访问用户身份的认证

  • HTTP认证方式:BASIC基本认证,DIGEST摘要认证,SSL客户端认证,FormBase表单认证;

  • BASIC认证:通过HTTP Authorization首部字段,发送用户ID与密码的Base64b
    编码字符串,由于其明文不安全以及无注销操作,故不使用;

  • DIGEST认证:BASIC的基础上,添加了服务端产生随机字段,组合之后生成MD5作为首部;增强了密码保护,但是无法防止用户伪装;

  • SSL认证:HTTPS加密通信,一般采用双因素认证,组合表单认证;

  • 表单认证:即一般的注册登录;大部分都是表单认证;

基于HTTP的功能追加协议

  • Ajax:异步JavaScript 与 XML;有效利用JavaScript和DOM(文件对象模型)的操作,局部Web页面的加载;

  • Comet:服务器有更新,就向客户端发送推送;

  • SPYD:解决HTTP的性能瓶颈;多路复用流,赋予请求优先级,压缩HTTP首部,推送功能;(仅单域名通信多路复用,一个Web上使用多个域名下的资源时,就会受到限制)

  • WebSocket:推送功能,减少通信量(保持连接状态);使用HTTP的Upgrade首部字段,握手修改通信协议,使用WebSocket通信;

  • HTTP/2.0

  • Web服务器管理文件的WebDAV

构建Web内容的技术

  • HTML:超文本标记语言,构建Web基础;

  • CSS:展现HTML内元素的样式;

  • 动态HTML:使用客户端脚本语言JacaScript,实现对HTML的Web页面的动态改造;利用DOM可指定欲发生动态变化的HTML元素;

  • DOM:操作HTML文档和XML文档的API;使用JacaScript对DOM的操作可以简单的方式控制HTML;例如:document.getElementsByTagName();

  • Web应用:通过Web功能提供的应用程序,例如购物网站,搜索引擎等;作用与动态内容之上;

  • CGI:通用网关接口,Web服务器接收客户端发送来的请求后转发给程序,程序对请求内容做出响应的动作;

  • Servlet:服务器上创建动态内容;执行相对轻量级,效率更高;

  • XML:可扩展标记语言;

  • RSS/Atom:发布更新信息,也是呀XML;

  • JSON:由JavaScript衍生,更加轻量化的数据格式;

Web的攻击技术

  • 输出值转义不完全引发的安全漏洞:跨站脚本攻击(XSS),窃取用户Cookie,SQL注入,OS命令注入,HTTP首部注入,HTTP响应截断攻击,邮件首部注入攻击,目录遍历攻击,远程文件包含漏洞。

  • 设计或设置缺陷引发的漏洞:强制浏览,不正确的错误处理,开放重定向,

  • 会话管理疏忽的漏洞:会话劫持,会话固定攻击,跨站点请求伪造;

  • 其他漏洞:密码破解,点击劫持,DoS攻击,后门程序;

显示全文