HTTP/HTTPS原理详解
简介
HTTP(Hypertext Transfer Protocal,超文本传输协议)是WWW(World Wide Web,万维网)数据传输的基础,规定如何传输超文本。HTTP协议存在多个版本:HTTP/0.9、HTTP/1.0、HTTP/1.1和HTTP/2。
HTTP基于Client/Server架构,遵循request->response模型,客户端(比如浏览器、curl命令行)向服务端发送一个HTTP request请求,服务端处理后回复客户端一个HTTP response响应。
HTTP是应用层协议,一般依赖一个可靠的传输层协议(如TCP),也可以基于不可靠的传输层协议(比如HTTPU协议基于UDP协议)。
HTTP资源由URLs(Uniform Resource Locator,统一资源定位符)确定,使用URI(Uniform Resource Identifier)中的http、https的scheme。
HTTP session(会话):客户端与服务器之间的一系列请求/响应称为会话,会话能够把同一用户发出的不同请求关联起来。不同用户的会话应当是相互独立的。会话一旦建立就应当一直存在,直到用户空闲时间超过了某一个时间界限,才释放该会话资源。
HTTP请求方法
HTTP不同的版本定义了不同的方法,0.9版本定义了GET方法,1.0版本定义了GET、POST和HEAD方法,1.1版本定义了OPTIONS、PUT、DELETE、TRACE和CONNECT方法,RFC-5789规定了PATCH方法。
- GET:用于客户端从服务器获取数据,且不应该改变服务器的状态。
- HEAD:类似与GET方法,不同之处在与客户端仅关心响应的头部的元信息,服务器不会返回response body,这样可以提高传输效率。
- POST:客户端要求更新服务器上某个URI对应的资源。
- PUT:类似POST请求,如果URI对应的是一个已经存在的资源,该资源会被更新;如果资源不存在,则创建新的资源。另外,PUT操作是幂等的,POST操作不是幂等的。
- DELETE:删除指定的资源。
- TRACE:这个方法可以打印出服务端的接受内容,这样客户端可以判断出发送出去的数据是否被中间服务器篡改过。
- OPTIONS:查询某个URL支持的HTTP方法。
- PATCH:对服务器的指定资源做部分修改。
方法的安全性
按照标准,HEAD、GET、OPTIONS和TRACE方法仅用于查询信息,应该是安全的,不会修改服务器的状态。
POST、PUT、DELETE和PATCH方法是不安全的,他们的目的是修改服务器上的资源,一般网络爬虫不会使用这些方法访问服务器。
当然,标准只是建议,方法对应的操作完全由服务端的开发者决定,在收到GET请求时改变服务器的状态也是可以的,但是这种不标准的行为会带来大量问题(比如网络爬虫频繁访问服务器时,可能会将系统状态修改到不可知的状态)。
幂等操作与非幂等操作
GET、HEAD、OPTIONS、TRACE、PUT、DELETE操作是幂等的,即一次操作和多次操作的效果相同。
POST方法不需要是幂等的,对一个发布博客的URL进行两次一样的POST请求,会产生两个不同的博客。
一张图总结
注:图片来自维基百科。
安全性
TRACE这个方法(在微软的IIS中叫做TRACK)可以被用在cross site tracing攻击中,所以一般服务器默认关闭了这个方法,包括TRACK。
上面提到的安全,都是从服务器的状态是否被改变的角度来说。从被传输的数据是否安全来看,HTTP协议是一个不安全的协议,它的报文是明文传输的。HTTPS是一个比HTTP协议安全的超文本传输协议,早期基于SSL协议,后来演进到TLS协议,涉及到敏感数据传输时应该采用HTTPS协议。
HTTPS
HTTPS的作用主要有三个:
- 验证服务器或客户端的身份合法
- 报文加密
- 验证数据完整性
采用HTTPS可以有效抵御中间人攻击、报文监听攻击和报文篡改攻击。不过,针对报文监听这种攻击的抵御不是绝对的,HTTPS是基于TLS的HTTP,可以将HTTP请求的URL path、request header、request body等内容加密,由于转发需要提供IP及端口信息,所以监听者还是能够监听到目的IP(甚至域名)、目的端口、源IP、源端口、报文大小、通信时间等信息的。
使用浏览器访问采用HTTPS协议的网站时,一般在地址栏左侧都有标示表明HTTPS证书信息,比如使用Safari访问百度时,可以看到百度使用了赛门铁克颁发的证书:
持久链接
在HTTP/0.9和HTTP/1.0中,链接在一次请求、响应后被关闭,这种特性称为无连接,考虑到网络状况越来越复杂(比如一个网页需要请求多次加载图片、视频、CSS等),在HTTP/1.1中引入了长链接(keep alive)的概念,同一个会话的不同HTTP请求可以共用一个TCP链接,不再需要每次HTTP请求之前都走一遍TCP的三次握手过程,有效的提高了传输效率。
请求报文
HTTP请求报文的格式如下: request line
request header fields
<blank line>
request body [optional]
request line和header fields每一行都要以<CR><LF>
(carriage return——回车和line feed——换行)结束,并且blank line只允许有<CR><LF>
不允许有其他空白字符。在HTTP1.1以前,header fields可以为空,HTTP1.1中,header field必须包含Host字段。
响应报文
HTTP响应报文格式如下: status line
response header fields
<blank line>
response body [optional]
status line和header fields及blank line的格式要求如请求报文的格式。
响应状态码包含在第一行,比如HTTP/1.0 200 OK,第一个字段是HTTP版本,然后是状态码及错误解释信息。错误解释信息是可以定制的,甚至状态码也可以自定义。客户端收到响应后,先依据status line判断响应状态,其次是response header,在判断status line时,如果不是一个标准状态码,会按照首位数字判断响应类别:
1字头:消息
2字头:成功
3字头:重定向
4字头:请求错误
5、6字头:服务器错误
HTTP会话状态
HTTP是一个无状态协议,在同一个会话的不同请求之间,服务端无需记录每个用户的不同请求之间的信息。为了维持请求之间的状态,可以采用cookie或session的技术,注意这里的session和HTTP会话中的session含义不同。
cookie
采用cookie的时候,服务器会将cookie的内容放在response headers field的set-cookie字段中,浏览器会将cookie的内容存下来,下次请求服务器时在request header fields的cookie字段中写入cookie的内容:
下一次调用upload接口上传文件的时候,客户端浏览器会自动填入cookie字段:
session
因为HTTP是明文传输的,所以敏感信息不方便放在客户端cookie中,而且cookie过大时,可能由于浏览器的限制导致请求无法发送,这个时候可以采用session。客户端第一次访问服务端时,服务端会为这次会话生成一个唯一的session id,然后会以该session id建立一个存储空间(内存、数据库、文件等等),向该session中记录信息,响应时只在set-cookie字段中填入session id,这样即使客户端看到了session id也无法读取里面的内容。
同理,客户端下一次请求时,会在request header fields中的cookie字段中填入session id的信息:
题外话
之前工作让我养成了一个习惯,学习协议的时候会看RFC,做抓包实验。如果要深入理解HTTP协议 ,建议通读相关RFC。报文抓取和分析的话,Linux下可以使用tcpdump,Window、OsX环境可以用wireshark。服务器方面我是用Flask搭了一个简单地服务端,客户端请求采用curl命令行或者浏览器,如果您会使用Fiddler的话,分析报文会更方便。
HTTP/HTTPS原理详解的更多相关文章
- [转帖]HTTPS系列干货(一):HTTPS 原理详解
HTTPS系列干货(一):HTTPS 原理详解 https://tech.upyun.com/article/192/HTTPS%E7%B3%BB%E5%88%97%E5%B9%B2%E8%B4%A7 ...
- 【转】HTTPS系列干货(一):HTTPS 原理详解
HTTPS系列干货(一):HTTPS 原理详解 前言 HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并 ...
- HTTPS系列干货(一):HTTPS 原理详解
HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷 ...
- 加密方法与HTTPS 原理详解
一:加密方法: 1,对称加密 AES,3DES,DES等,适合做大量数据或数据文件的加解密. 2,非对称加密 如RSA,Rabin.公钥加密,私钥解密.对大数据量进行加解密时性能较低. 二:https ...
- HTTPS 原理详解 (转)
HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷 ...
- HTTPS原理详解
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTT ...
- SSL/TLS 原理详解
本文大部分整理自网络,相关文章请见文后参考. SSL/TLS作为一种互联网安全加密技术,原理较为复杂,枯燥而无味,我也是试图理解之后重新整理,尽量做到层次清晰.正文开始. 1. SSL/TLS概览 1 ...
- WebActivator的实现原理详解
WebActivator的实现原理详解 文章内容 上篇文章,我们分析如何动态注册HttpModule的实现,本篇我们来分析一下通过上篇代码原理实现的WebActivator类库,WebActivato ...
- Spring Aop底层原理详解
Spring Aop底层原理详解(来源于csdn:https://blog.csdn.net/baomw)
随机推荐
- 【bzoj1115】[POI2009]石子游戏Kam(博弈论)
题目传送门:https://www.lydsy.com/JudgeOnline/problem.php?id=1115 观察问题,我们能发现前后相邻两堆石子的数量差一定非负,而我们在第i堆石子中移走k ...
- 简单的aop实现日志打印(切入点表达式)
Spring中可以使用注解或XML文件配置的方式实现AOP. 1.导入jar包 com.springsource.net.sf.cglib -2.2.0.jar com.springsource.or ...
- SSL证书是“盾牌“还是”鸡肋“?
德国联邦安全与IT办公室(BSI,职能相当于美国的国家安全与信息技术局)近日发布公告警告:网络攻击者冒充其发布了“关于Meltdown与Spectre攻击信息”的垃圾邮件,该邮件中包含指向修复补丁的页 ...
- skynet之伪取消定时器
1.截至目前群里的成员已经对skynet中的timeout提出了更多的要求.目前skynet提供的定时器是倒计时形式,且定时器一旦设置后,便不能撤销(至少目前的实现是这样),然后调用 cb 最近有人提 ...
- DevExpress的GridControl选择一行,不显示单元格焦点的设置
grid控件默认选择一行时,focused的cell并不是蓝色的,而是白色的 要想实现一次选择一行全都是蓝色的只要改一个属性就可以了 this.gridView1.OptionsSelection.E ...
- Android -- junit测试框架,logcat获取log信息
1. 相关概念 白盒测试: 知道程序源代码. 根据测试的粒度分为不同的类型 方法测试 function test 单元测试 unit test 集成 ...
- 用Heartbeat实现HA集群
HA即高可用(high avaliable),又被叫做双机热备,用于关键性业务,简单理解就是,有两台机器A和B,正常是A提供服务,B待机闲置,当A宕机或服务宕掉,会切换到B机器继续提供服务.常用实现高 ...
- Spring中Bean的生命周期是怎样的
1.Spring对Bean进行实例化(相当于程序中的new Xx()) 2.Spring将值和Bean的引用注入进Bean对应的属性中 3.如果Bean实现了BeanNameAware接口,Sprin ...
- python函数语法学习
Python函数 定义函数 在Python中,定义一个函数用def语句,一次写出函数名.括号中的参数和冒号:,函数返回使用return语句. def myDef(x): if x >= 0: r ...
- MYSQL(python)安装记录
捯饬了很长时间,终于安装成功了,特此记录下! MYSQL历史版本下载,一般为绿色版本 地址:http://downloads.mysql.com/archives/community/ MYSQL安装 ...