HTTP、HTTPS

http是一种无状态协议，通过短暂保持浏览器核服务器间通信可以有效减少为保持连接而耗费的额外开销。无状态意味着浏览器和服务器完成一次通信后，连接会释放。在下一次会话发起时，浏览器核服务器端不会记录上一次通信到底发生了什么。

无状态协议导致网站无法保存用户的状态，于是引入Cookie技术。http服务器把cookie发送到浏览器端，之后浏览器在每次连接时都会将cookie副本返回给服务器。cookie通过http协议头在浏览器和服务器之间传输。一般浏览器端存储不超过300个cookie文件，服务器端不超过20个，每个不超过4kb。 

 

当发送一个url请求时，浏览器都会开启一个线程来处理这个请求，同时在远程DNS服务器上启动一个DNS查询。这能使浏览器会的URL请求所对应的IP地址。接下来浏览器与远程Web服务器通过TCP三次握手协商来建立一个TCP/IP连接。该握手过程包括一个同步报文，一个同步应答报文，以及一个应答报文，这三个报文在浏览器和远程服务器间传递。一旦TCP/IP连接建立，浏览器会通过该连接向远程服务器发送HTTP的GET请求。远程服务器找到资源并使用HTTP响应返回资源，值为200的HTTP响应状态表示一个正确的响应。

http请求绝大多数的时间消耗在了建立连接跟等待的时间，优化的方法是减少http请求。

1、图片的减少通常有两种方式：css sprites、内联图片、IconFont。

CSS Sprites：将多张图片合并成一幅单独的图片

内联图片：通过使用data:URL模式可以再页面中包含图片而无需任何额外的请求。缺点就是IE8以下的浏览器不支持这种方式，而IE8在数 据大小上有限制，只能支持23kb以内的数据。对于较小的图片来说可以直接内联到web页面中，但对于大图片内联到页面里会导致页面变大，聪明的做法是使 用css，将内联的图片作为背景使用，并放到外部样式表中，这意味着数据可以缓存在样式表内部。使用外部样式表虽然增加了一个http请求，但样式可以被 浏览器缓存，得到额外的收获。另外一点需要注意：base64是有损压缩。

IconFont：图标字 体，这是近年来新流行的一种以字体代替图片的技术。它可以适应任何分辨率而不会出现图片模糊问题，与图片相比它具有更小的容量，更高的灵活性（像字体一样 可以设置图标大小、颜色、透明度、hover状态、反转等），IE8以上的浏览器都支持该技术

2、减少脚本与样式表的请求主要原则就是合并。

3、关于页面内部优化主要方向：样式表放在顶部、脚本文件放在底部、避免css表达式、把脚本的样式表放在外部、移除重复脚本

4、启用缓存: 服务器缓存, 请求＝>服务器［＝>查表］＝>缓存数据流＝>用户

5、优化网络连接：使用CDN加速、减少DNS查找、避免重定向

一、HTTP请求一般由四部分组成：

1.HTTP请求的方法或动作，比如是get还是post请求；

2.正在请求的URL（请求的地址）；

3.请求头，包含一些客户端环境信息、身份验证信息等；

4.请求体（请求正文），可以包含客户提交的查询字符串信息、表单信息等。

GET：一般用于信息获取（常用于查询）；使用URL传递参数（变量显示在URL中，所有人可见）；对所发送信息的数量有限制（一般在2000个字符）。

POST：一般用于修改服务器上的资源；对所发送的信息数量无限制。（不在URL中显示，对其他人不可见，信息在请求体中）（常用于发送表单数据，新建、修改等）。

二、HTTP响应一般由三部分组成：

1.一个数字和文字组成的状态码，用来显示请求是成功还是失败；
2.响应头，响应头也和请求头一样包含许多有用的信息，例如服务器类型、日期时间、内容类型和长度等；
3.响应体（响应正文）

三、 session 和cookie

Session定义

一般被翻译为‘会话’，具体到Web中的Session指的就是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。

session工作原理

session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构来保存信息。 
当客户端请求创建一个session的时候，服务器首先检查客户端请求里是否已包含了一个session标识session id，如果已包含一个session id则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用。

如果客户端请求不包含session id，则为此服务器创建一个session并且生成一个与此session相关联的session id。session id的值是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。 保存这个session id的方式可以采用cookie。一般这个cookie的名字都是类似于SEEESIONID。

比如：JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764，它的名字就是JSESSIONID。

由于cookie可以被人为的禁止，必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写。就是把session id直接附加在URL路径的后面，附加方式也有两种：

1. 一种是作为URL路径的附加信息，表现形式为http://...../xxx;jsessionid=ByOK ... 99zWpBng!-145788764

2.另一种是作为查询字符串附加在URL后面，表现形式为http://...../xxx?jsessionid=ByOK ... 99zWpBng!-145788764

这两种方式对于用户来说是没有区别的，只是服务器在解析的时候处理的方式不同，采用第一种方式也有利于把session id的信息和正常程序参数区分开来。 为了在整个交互过程中始终保持状态，就必须在每个客户端可能请求的路径后面都包含这个session id。

另一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。这种技术现在已较少应用。

有一种一种误解：“只要关闭浏览器，session就消失了”。其实可以想象一下会员卡的例子，除非顾客主动对店家提出销卡，否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的，除非程序通知服务器删除一个session，否则服务器会一直保留，程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已经关闭。

之所以会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个session id就消失了，再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然能够找到原来的session。 

恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省存储空间。

Cookie

Cookie定义

“Cookie”是小量信息。由服务器发送出来以存储在浏览器上，从而下次这位访客又回到该网络服务器时，可从该浏览器读回此信息。

Cookie工作原理

一般来说，Cookie通过HTTP Headers从服务器端返回到浏览器上。路径与域合在一起就构成了cookie的作用范围。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。

首先，服务器端在响应中利用Set-Cookie header来创建一个Cookie ，然后，浏览器在它的请求中通过Cookie header包含这个已经创建的Cookie，并且把它返回至服务器，从而完成浏览器的论证。

Expires：该Cookie保存的时间期限。当然，如果浏览器上Cookie 太多，超过了系统所允许的范围，浏览器将自动对它进行删除。

Path：用来指定Cookie将被发送到服务器的哪一个目录路径下。

说明：浏览器创建了一个Cookie后，对于每一个针对该网站的请求，都会在Header中带着这个Cookie；不过，对于其他网站的请求Cookie是绝对不会跟着发送的。而且浏览器会这样一直发送，直到Cookie过期为止。

识别功能，如果在一台计算机中安装多个浏览器，每个浏览器都会在各自独立的空间存放cookie。因为cookie中不但可以确认用户，还能包含计算机和浏览器的信息，所以一个用户用不同的浏览器登录或者用不同的计算机登录，都会得到不同的cookie信息，另一方面，对于在同一台计算机上使用同一浏览器的多用户群，cookie不会区分他们的身份，除非他们使用不同的用户名登录。

Session和Cookie的区别

1、session保存在服务器，客户端不知道其中的信息；cookie保存在客户端，服务器能够知道其中的信息。

2、session中保存的是对象，cookie中保存的是字符串。

3、session不能区分路径，同一个用户在访问一个网站期间，所有的session在任何一个地方都可以访问到。而cookie中如果设置 了路径参数，那么同一个网站中不同路径下的cookie互相是访问不到的。

4、session默认需要借助cookie才能正常工作。如果客户端完全禁止cookie，session，这种方法将失效。但可以URL重写。

5 session在用户会话结束后就会关闭了，但cookie因为保存在客户端，可以长期保存

6 cookie:是服务端向客户端写入的小的片段信息。cookie信息保存在服务器缓存区，不会在客户端显现。当你第一次登陆一个网站，服务器向你的机器写得片段信息。你可以在Internet选项中找到存放cookie的文件夹。如果不删除，cookie就一直在这个文件夹中。

四、HTTPS

HTTPS在保护用户隐私，防止流量劫持方面发挥着非常关键的作用，但与此同时，HTTPS也会降低用户访问速度，增加网站服务器的计算资源消耗。

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL（Secure Sockets Layer）协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

https如何避免中间人劫持

如果有人劫持了你的dns服务器，将wwe.icbc.com解析到他的非法网站，或者代理服务器将你导向他的非法网站去，这都是中间人攻击。如果没有https，那么攻击就这样发生了。https通过通过证书鉴别避免这类攻击

1、在申请证书的时候CA会对所要申请的域名进行控制权认证，所以你是不可能用隔壁老王的网站来申请证书的。就算你黑了他的站点，只要老王去申请证书就能发现了。

2、如果伪造一个证书，这个证不是权威CA签发的，那么浏览器检查的时候会报警提示用户证书非法。当然用户仍然可以继续操作，比如抢火车票什么的。。

3、如果你把真正站点的证书搞下来，证书上的域名不变，只是将公钥替换掉，那么浏览器比对证书数字签名的时候就能发现对不上了，二话不说，报警。

4、如果中间人直接用www.icbc.com的真实证书，那么他虽然能收到客户端的消息，但是无法解密，所以也无法响应客户端的请求，攻击无效！