HTTP协议详细总结

一、http介绍http是一个基于请求/响应模式的、无状态的协议。即，浏览器与服务端连接之后，浏览器向服务器发送一个请求，服务器返回响应信息之后，双方的链接就被关闭。我们要知道，应用层的http要使用传输层的tcp协议来完成。而tcp协议是通过“3次握手”建立连接，是面向连接的协议。默认情况下，浏览器与web服务器上80端口监听的服务器程序建立tcp连接。

http1.0是典型的请求/响应模式。为了减少服务器的开销，http1.1默认有“持续连接”的机制。通过这种机制，客户端发送请求得到响应后，连接不会马上关闭，可以继续发送请求，还可以流水线发送多个请求、而不用等待每一个响应的到来。二、uri和urluri(统一资源标识符)纯粹是一种符号结构，用于指定构成web资源的字符串的各个不同部分。而url(统一资源定位符)是一种特殊的uri，包含了用于查找某个资源的足够信息。uri是一种语义上的抽象概念，可以是绝对的，也可以是相对的，而url则必须提供足够的信息来定位，所以，是绝对的，而通常说的relativeurl，则是针对另一个absoluteurl，本质上还是绝对的。三、http请求格式如图：(crlf表示回车符+换行符，不同颜色之间用空格隔开)第一行叫做请求行。所以我们可以说http请求由请求行、消息报头、请求正文组成。1、请求行如上，请求行以一个方法符号开头，空格之后，一个请求uri，再空格，然后一个http版本，最后一个回车换行。其中请求方法有如下几种：我们在浏览器地址栏直接输入地址的时候，采用的就是get方法。head方法一般用于测试超链接的有效性，因为它只是请求响应消息的报头。消息报头后面会讲。(http协议中，请求方法必须全部大写)2、请求正文类似name=xxx&pwd=xxxx的内容四、http响应格式与http请求类似，如图：第一行叫做状态行。所以我们可以说http响应由状态行、消息报头、响应正文组成。1、状态行如上，状态行由一个http版本，空格后，一个状态码，再空格，一个状态码的文本描述，最后一个回车换行构成。状态代码有3位数字组成，状态描述给出了状态代码简短的描述。状态码第一个数字定义了响应的类别，有五种可能取值：1xx：指示信息--表示请求已接收，继续处理2xx：成功--表示请求已被成功接收、理解、接受3xx：重定向--要完成请求必须进行更进一步的操作4xx：客户端错误--请求有语法错误或请求无法实现5xx：服务器端错误--服务器未能实现合法的请求全部取值如下：100——客户必须继续发出请求101——客户要求服务器根据请求转换http协议版本200——交易成功201——提示知道新文件的url202——接受和处理、但处理未完成203——返回信息不确定或不完整204——请求收到，但返回信息为空205——服务器完成了请求，用户代理必须复位当前已经浏览过的文件206——服务器已经完成了部分用户的get请求300——请求的资源可在多处得到301——删除请求数据302——在其他地址发现了请求数据303——建议客户访问其他url或访问方式304——客户端已经执行了get，但文件未变化305——请求的资源必须从服务器指定的地址得到306——前一版本http中使用的代码，现行版本中不再使用307——申明请求的资源临时性删除400——错误请求，如语法错误401——请求授权失败402——保留有效chargeto头响应403——请求不允许404——没有发现文件、查询或url405——用户在request-line字段定义的方法不允许406——根据用户发送的accept拖，请求资源不可访问407——类似401，用户必须首先在代理服务器上得到授权408——客户端没有在用户指定的饿时间内完成请求409——对当前资源状态，请求不能完成410——服务器上不再有此资源且无进一步的参考地址411——服务器拒绝用户定义的content-length属性请求412——一个或多个请求头字段在当前请求中错误413——请求的资源大于服务器允许的大小414——请求的资源url长于服务器允许的长度415——请求资源不支持请求项目格式416——请求中包含range请求头字段，在当前请求资源范围内没有range指示值，请求也不包含if-range请求头字段417——服务器不满足请求expect头字段指定的期望值，如果是代理服务器，可能是下一级服务器不能满足请求500——服务器产生内部错误501——服务器不支持请求的函数502——服务器暂时不可用，有时是为了防止发生系统过载503——服务器过载或暂停维修504——关口过载，服务器使用另一个关口或服务来响应用户，等待时间设定值较长505——服务器不支持或拒绝支请求头中指定的http版本消息报头下面会讲。2、响应正文所谓响应正文，就是服务器返回的资源的内容。即整个html文件。五、消息报头http请求和http响应都有消息报头。而消息报头是由众多报头域组成。每一个报头域都由名字+“：”+空格组成，消息报头域的名字是大小写无关的。http消息报头包括普通报头、请求报头、响应报头和实体报头。1、普通报头：在普通报头中，有少数报头域用于所有的请求和响应消息，但并不用于被传输的实体，只用于传输的消息。普通报头包括：常见的普通报头：1)cache-controlcache-control用于指定缓存指令，缓存指令是单向的(响应中出现的缓存指令在请求中未必会出现)，且是独立的(一个消息的缓存指令不会影响另一个消息处理的缓存机制)，http1.0使用的类似的报头域为pragma。请求时的缓存指令包括：no-cache(用于指示请求或响应消息不能缓存)、no-store、max-age、max-stale、min-fresh、only-if-cached;响应时的缓存指令包括：public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate、max-age、s-maxage.2)datedate普通报头域表示消息产生的日期和时间3)connectionconnection普通报头域允许发送指定连接的选项。例如指定连接是连续，或者指定“close”选项，通知服务器，在响应完成后，关闭连接2、请求报头请求报头允许客户端向服务器端传递请求的附加信息以及客户端自身的信息。请求报头包括：常见的请求报头：1)acceptaccept请求报头域用于指定客户端接受哪些类型的信息。2)accept-charsetaccept-charset请求报头域用于指定客户端接受的字符集。如果在请求消息中没有设置这个域，缺省是任何字符集都可以接受。3)accept-encodingaccept-encoding请求报头域类似于accept，但是它是用于指定可接受的内容编码。如果请求消息中没有设置这个域服务器假定客户端对各种内容编码都可以接受。4)accept-languageaccept-language请求报头域类似于accept，但是它是用于指定一种自然语言如果请求消息中没有设置这个报头域，服务器假定客户端对各种语言都可以接受。5)authorizationauthorization请求报头域主要用于证明客户端有权查看某个资源。当浏览器访问一个页面时，如果收到服务器的响应代码为401(未授权)，可以发送一个包含authorization请求报头域的请求，要求服务器对其进行验证。6)host发送请求时，该报头域是必需的。host请求报头域主要用于指定被请求资源的internet主机和端口号，它通常从httpurl中提取出来的。7)user-agentuser-agent请求报头域允许客户端将它的操作系统、浏览器和其它属性告诉服务器。不过，这个报头域不是必需的，如果我们自己编写一个浏览器，不使用user-agent请求报头域，那么服务器端就无法得知我们的信息了。3、响应报头响应报头允许服务器传递不能放在状态行中的附加响应信息，以及关于服务器的信息和对request-uri所标识的资源进行下一步访问的信息。响应报头包括：常见的实体报头：1)locationlocation响应报头域用于重定向接受者到一个新的位置。location响应报头域常用在更换域名的时候。2)serverserver响应报头域包含了服务器用来处理请求的软件信息。与user-agent请求报头域是相对应的。3)www-authenticatewww-authenticate响应报头域必须被包含在401(未授权的)响应消息中，客户端收到401响应消息时候，并发送authorization报头域请求服务器对其进行验证时，服务端响应报头就包含该报头域。4、实体报头请求和响应消息都可以传送一个实体。一个实体由实体报头域和实体正文组成，但并不是说实体报头域和实体正文要在一起发送，可以只发送实体报头域。实体报头定义了关于实体正文(eg：有无实体正文)和请求所标识的资源的元信息。实体报头包括：常见的实体报头：1)content-encodingcontent-encoding实体报头域被用作媒体类型的修饰符，它的值指示了已经被应用到实体正文的附加内容的编码，因而要获得content-type报头域中所引用的媒体类型，必须采用相应的解码机制。content-encoding主要用于记录文档的压缩方法。2)content-languagecontent-language实体报头域描述了资源所用的自然语言。没有设置该域则认为实体内容将提供给所有的语言阅读者。3)content-lengthcontent-length实体报头域用于指明实体正文的长度，以字节方式存储的十进制数字来表示。即一个数字字符占一个字节，用其对应的ascii码来存储传输。4)content-typecontent-type实体报头域用语指明发送给接收者的实体正文的媒体类型。5)expiresexpires实体报头域给出响应过期的日期和时间。为了让代理服务器或浏览器在一段时间以后更新缓存中(再次访问曾访问过的页面时，直接从缓存中加载，缩短响应时间和降低服务器负载)的页面，我们可以使用expires实体报头域指定页面过期的时间。6)last-modifiedlast-modified实体报头域用于指示资源的最后修改日期和时间。六、关于http请求get和post的区别1、提交数据位置get提交，请求的数据会附在url之后(就是把数据放置在http协议头中)，以?分割url和传输数据，多个参数用&连接;例如：login.action?name=hyddd&password=idontknow&verify=%e4%bd%a0%e5%a5%bd。如果数据是英文字母/数字，原样发送，如果是空格，转换为+，如果是中文/其他字符，则直接把字符串用base64加密，得出如：%e4%bd%a0%e5%a5%bd，其中%xx中的xx为该符号以16进制表示的ascii。post提交：把提交的数据放置在是http包的包体中。上文示例中红色字体标明的就是实际的传输数据因此，get提交的数据会在地址栏中显示出来，而post提交，地址栏不会改变2、传输数据的大小首先声明,http协议没有对传输的数据大小进行限制，http协议规范也没有对url长度进行限制。而在实际开发中存在的限制主要有：get:特定浏览器和服务器对url长度有限制，例如ie对url长度的限制是2083字节(2k+35)。对于其他浏览器，如netscape、firefox等，理论上没有长度限制，其限制取决于操作系统的支持。因此对于get提交时，传输数据就会受到url长度的限制。post:由于不是通过url传值，理论上数据不受限。但实际各个web服务器会规定对post提交数据大小进行限制，apache、iis6都有各自的配置。3、安全性post的安全性要比get的安全性高。注意：这里所说的安全性和上面get提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改，而这里安全的含义是真正的security的含义，比如：通过get提交数据，用户名和密码将明文出现在url上，因为(1)登录页面有可能被浏览器缓存，(2)其他人查看浏览器的历史纪录，那么别人就可以拿到你的账号和密码了。