网络-http协议学习条记(消息结构、请求方法、状态码等)
目录所用工具
HTTP简介
HTTP 工作原理
HTTP留意事项
HTTP 消息结构
客户端请求消息
服务器响应消息
实例
HTTP 请求方法
GET和POST的区别
HTTP 响应头信息
HTTP状态码
HTTP状态码分类
HTTP状态码列表
学习过Rest API,使用Wireshark、burpsuite抓过包,还是感觉没有体系的学习http协议,写下此篇,作为条记整理。
所用工具
[*]Wireshark
[*]Postman
[*]Pycharm
[*]httpbin.org
HTTP简介
HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地欣赏器的传送协议,是一个基于TCP/IP通讯协议来传递数据(HTML文件, 图片文件, 查询结果等)。
HTTP 工作原理
HTTP协议工作于C/S(客户端-服务端)架构上。欣赏器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。
Web服务器有:Nginx服务器,Apache服务器,IIS服务器(Internet Information Services)等。
Web服务器根据接收到的请求后,向客户端发送响应信息。
HTTP默认端标语为80,你也可以改为8080大概其他端口,HTTPS默认端标语为443。
HTTP留意事项
https://i-blog.csdnimg.cn/direct/37a55afadf714f308dc274c6ce93feb3.jpeg
[*]HTTP是无毗连:无毗连指限定每次毗连只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开毗连。接纳这种方式可以节流传输时间。
[*]HTTP是媒体独立的:这意味着,只要客户端和服务器知道如何处理的数据内容,任何类型的数据都可以通过HTTP发送。客户端以及服务器指定使用恰当的MIME-type内容类型。
[*]HTTP是无状态:HTTP协议是无状态协议。无状态指协议对于事务处理没有影象能力。缺少状态意味着假如后续处理需要前面的信息,则它必须重传,如许可能导致每次毗连传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
下图表展示了HTTP协议通讯流程:
https://i-blog.csdnimg.cn/blog_migrate/080adfebb28250748b3150a80766592c.gif
图片来源于网络(侵删)
HTTP 消息结构
HTTP使用统一资源标识符(Uniform Resource Identifiers, URI)来传输数据和建立毗连。
一旦建立毗连后,数据消息就通过雷同Internet邮件所使用的格式和多用途Internet邮件扩展(MIME)来传送。
客户端请求消息
客户端发送一个HTTP请求到服务器的请求消息包罗以下格式:请求行(request line)、请求头部(header)、空行和请求数据四个部门组成。
下图给出了请求报文的一样平常格式 :
https://i-blog.csdnimg.cn/blog_migrate/d055acf7b02496ed1d326113bfc8aeb4.png
图片来源于网络(侵删)
https://i-blog.csdnimg.cn/blog_migrate/2e497a5cfe56a95c439c27753761f753.png
请求
留意:GET之后是有一个空格的
服务器响应消息
HTTP响应也由四个部门组成,分别是:状态行、消息报头、空行和响应正文。
https://i-blog.csdnimg.cn/blog_migrate/868cbbd97f9bd0ea87629097b974191a.png
响应
实例
python代码
import urllib.request
url = "http://httpbin.org/get"
print(url)
# 添加请求的url和方法
req = urllib.request.Request(url, method="GET")
# 接收响应数据
returnData = urllib.request.urlopen(req)
res_json = returnData.read().decode('utf-8')
print(res_json)
https://i-blog.csdnimg.cn/blog_migrate/01cd51de5a2036042d638a6acaf32b95.png
结果
HTTP 请求方法
HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD方法。
HTTP1.1 新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。
序号方法描述1GET请求指定的页面信息,并返回实体主体。2HEAD雷同于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头3POST向指定资源提交数据举行处理请求(比方,提交表单大概上传文件)。数据被包含在请求体中。POST 请求可能会导致新的资源的建立或已有资源的修改。4PUT从客户端向服务器传送的数据代替指定的文档的内容。5DELETE请求服务器删除指定的页面。6CONNECTHTTP/1.1 协议中预留给能够将毗连改为管道方式的署理服务器。7OPTIONS允许客户端检察服务器的性能。8TRACE回显服务器收到的请求,重要用于测试或诊断。9PATCH是对 PUT 方法的增补,用来对已知资源举行局部更新 。 https://i-blog.csdnimg.cn/blog_migrate/c0084515bf5144678da5fdf97af0e1ca.png
HEAD
https://i-blog.csdnimg.cn/blog_migrate/7fb2692eff14b9d0d8173f5fcf551e17.png
请求方法
GET和POST的区别
[*]GET在欣赏器回退时是无害的,而POST会再次提交请求。
[*]GET产生的URL地址可以被Bookmark,而POST不可以。
[*]GET请求会被欣赏器自动cache,而POST不会,除非手动设置。
[*]GET请求只能举行url编码,而POST支持多种编码方式。
[*]GET请求参数会被完备保存在欣赏器历史记载里,而POST中的参数不会被保存。
[*]GET请求在URL中传送的参数是有长度限定的,而POST没有。
[*]对参数的数据类型,GET只担当ASCII字符,而POST没有限定。
[*]GET比POST更不安全,因为参数直接袒露在URL上,所以不能用来传递敏感信息。
[*]GET参数通过URL传递,POST放在Request body中。
(源于w3schools)
HTTP的底层是TCP/IP(推荐书籍《TCP/IP详解》)。所以,GET和POST的底层也是TCP/IP。GET和POST能做的事变是一样一样的。假如给GET加上request body,大概给POST带上url参数,技术上是完全行的通的。也就是说,GET和POST在本质上没什么区别。
但是假如真的一点区别都没有,那么这个问题也就不存在了,两者之间最庞大的区别就是:
GET产生一个TCP数据包;POST产生两个TCP数据包。
具体点说来就是:
对于GET方式的请求,欣赏器会把http header和data一并发送出去,服务器响应200(返回数据);
而对于POST,欣赏器先发送header,服务器响应100 continue,欣赏器再发送data,服务器响应200 ok(返回数据)。
get: RFC 2616 - Hypertext Transfer Protocol – HTTP/1.1 post: RFC 2616 - Hypertext Transfer Protocol – HTTP/1.1
HTTP 响应头信息
就是前面的消息报头,以key:value形式。
响应头说明Allow服务器支持哪些请求方法(如GET、POST等)。 |
| Content-Encoding |
文档的编码(Encode)方法。只有在解码之后才可以得到Content-Type头指定的内容类型。使用gzip压缩文档能够显著地减少HTML文档的下载时间。Java的GZIPOutputStream可以很方便地举行gzip压缩,但只有Unix上的Netscape和Windows上的IE 4、IE 5才支持它。因此,Servlet应该通过检察Accept-Encoding头(即request.getHeader(“Accept-Encoding”))检查欣赏器是否支持gzip,为支持gzip的欣赏器返回经gzip压缩的HTML页面,为其他欣赏器返回普通页面。
|
| Content-Length |
体现内容长度。只有当欣赏器使用持久HTTP毗连时才需要这个数据。假如你想要使用持久毗连的上风,可以把输出文档写入 ByteArrayOutputStream,完成后检察其大小,然后把该值放入Content-Length头,最后通过byteArrayStream.writeTo(response.getOutputStream()发送内容。
|
| Content-Type |
体现后面的文档属于什么MIME类型。Servlet默以为text/plain,但通常需要显式地指定为text/html。由于经常要设置Content-Type,因此HttpServletResponse提供了一个专用的方法setContentType。
|
| Date |
当前的GMT时间。你可以用setDateHeader来设置这个头以避免转换时间格式的麻烦。
|
| Expires |
过期时间,应该在什么时间以为文档已经过期,从而不再缓存它?
|
| Last-Modified |
文档的最后改动时间。客户可以通过If-Modified-Since请求头提供一个日期,该请求将被视为一个条件GET,只有改动时间迟于指定时间的文档才会返回,否则返回一个304(Not Modified)状态。Last-Modified也可用setDateHeader方法来设置。
|
| Location |
体现客户应当到哪里去提取文档。Location通常不是直接设置的,而是通过HttpServletResponse的sendRedirect方法,该方法同时设置状态代码为302。
|
| Refresh |
体现欣赏器应该在多少时间之后刷新文档,以秒计。除了刷新当前文档之外,你还可以通过setHeader(“Refresh”, “5; URL=http://host/path”)让欣赏器读取指定的页面。
留意这种功能通常是通过设置HTML页面HEAD区的<META HTTP-EQUIV=“Refresh” CONTENT="5;URL=http://host/path">实现,这是因为,自动刷新或重定向对于那些不能使用CGI或Servlet的HTML编写者非常紧张。但是,对于Servlet来说,直接设置Refresh头更加方便。
留意Refresh的意义是"N秒之后刷新本页面或访问指定页面",而不是"每隔N秒刷新本页面或访问指定页面"。因此,连续刷新要求每次都发送一个Refresh头,而发送204状态代码则可以制止欣赏器继承刷新,不管是使用Refresh头还是<META HTTP-EQUIV=“Refresh” …>。
留意Refresh头不属于HTTP 1.1正式规范的一部门,而是一个扩展,但Netscape和IE都支持它。
|
| Server |
服务器名字。Servlet一样平常不设置这个值,而是由Web服务器本身设置。
|
| Set-Cookie |
设置和页面关联的Cookie。Servlet不应使用response.setHeader(“Set-Cookie”, …),而是应使用HttpServletResponse提供的专用方法addCookie。拜见下文有关Cookie设置的讨论。
|
| WWW-Authenticate |
客户应该在Authorization头中提供什么类型的授权信息?在包含401(Unauthorized)状态行的应答中这个头是必需的。比方,response.setHeader(“WWW-Authenticate”, “BASIC realm=\“executives\””)。
留意Servlet一样平常不举行这方面的处理,而是让Web服务器的专门机制来控制受密码保护页面的访问(比方.htaccess)
|
| X-Frame-Options |
1、DENY
体现该页面不允许在iframe中展示,即便是在雷同域名的页面中嵌套也不允许。nginx配置示例:add_header X-Frame-Options DENY;
2、SAMEORIGIN
体现该页面可以在雷同域名页面的frame中展示。nginx配置示例:add_header X-Frame-Options SAMEORIGIN;
3、ALLOW-FROM url
体现该页面可以在指定来源的frame中展示。nginx配置示例:add_header X-Frame-Options ‘ALLOW-FROM https://xxx.xxxxxx.com’;
4、ALLOWALL
体现该页面允许全部来源域名的frame展示。nginx配置示例:add_header X-Frame-Options ALLOWALL;
点击劫持问题的办理方式之一。
|
https://i-blog.csdnimg.cn/blog_migrate/1c1cc34247dbdaf75ad828587940f8ef.png
Postman默认消息报头
HTTP状态码
HTTP状态码分类
分类分类描述1**信息,服务器收到请求,需要请求者继承执行操作2**成功,操作被成功接收并处理3**重定向,需要进一步的操作以完成请求4**客户端错误,请求包含语法错误或无法完成请求5**服务器错误,服务器在处理请求的过程中发生了错误 HTTP状态码列表
状态码状态码英文名称中文描述100Continue继承。客户端应继承其请求101Switching Protocols切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议,比方,切换到HTTP的新版本协议200OK请求成功。一样平常用于GET与POST请求201Created已创建。成功请求并创建了新的资源202Accepted已担当。已经担当请求,但未处理完成203Non-Authoritative Information非授权信息。请求成功。但返回的meta信息不在原始的服务器,而是一个副本204No Content无内容。服务器成功处理,但未返回内容。在未更新网页的情况下,可确保欣赏器继承表现当前文档205Reset Content重置内容。服务器处理成功,用户终端(比方:欣赏器)应重置文档视图。可通过此返回码扫除欣赏器的表单域206Partial Content部门内容。服务器成功处理了部门GET请求300Multiple Choices多种选择。请求的资源可包罗多个位置,相应可返回一个资源特征与地址的列表用于用户终端(比方:欣赏器)选择301Moved Permanently永世移动。请求的资源已被永世的移动到新URI,返复书息会包罗新的URI,欣赏器会自动定向到新URI。以后任何新的请求都应使用新的URI代替302Found暂时移动。与301雷同。但资源只是暂时被移动。客户端应继承使用原有URI303See Other检察别的地址。与301雷同。使用GET和POST请求检察304Not Modified未修改。所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。客户端通常会缓存访问过的资源,通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源305Use Proxy使用署理。所请求的资源必须通过署理访问306Unused已经被废弃的HTTP状态码307Temporary Redirect暂时重定向。与302雷同。使用GET请求重定向400Bad Request客户端请求的语法错误,服务器无法理解401Unauthorized请求要求用户的身份认证402Payment Required保存,未来使用403Forbidden服务器理解请求客户端的请求,但是拒绝执行此请求404Not Found服务器无法根据客户端的请求找到资源(网页)。通过此代码,网站设计职员可设置"您所请求的资源无法找到"的个性页面405Method Not Allowed客户端请求中的方法被禁止406Not Acceptable服务器无法根据客户端请求的内容特性完成请求407Proxy Authentication Required请求要求署理的身份认证,与401雷同,但请求者应当使用署理举行授权408Request Time-out服务器等候客户端发送的请求时间过长,超时409Conflict服务器完成客户端的 PUT 请求时可能返回此代码,服务器处理请求时发生了冲突410Gone客户端请求的资源已经不存在。410不同于404,假如资源从前有现在被永世删除了可使用410代码,网站设计职员可通过301代码指定资源的新位置411Length Required服务器无法处理客户端发送的不带Content-Length的请求信息412Precondition Failed客户端请求信息的先决条件错误413Request Entity Too Large由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭毗连。假如只是服务器暂时无法处理,则会包含一个Retry-After的响应信息414Request-URI Too Large请求的URI过长(URI通常为网址),服务器无法处理415Unsupported Media Type服务器无法处理请求附带的媒体格式416Requested range not satisfiable客户端请求的范围无效417Expectation Failed服务器无法满足Expect的请求头信息500Internal Server Error服务器内部错误,无法完成请求501Not Implemented服务器不支持请求的功能,无法完成请求502Bad Gateway作为网关大概署理工作的服务器实验执行请求时,从远程服务器接收到了一个无效的响应503Service Unavailable由于超载或体系维护,服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中504Gateway Time-out充当网关或署理的服务器,未实时从远端服务器获取请求505HTTP Version not supported服务器不支持请求的HTTP协议的版本,无法完成处理 提几个常见的状态码,100、200前面说过了,3**的我还没碰到过。
401,Unauthorized,没有授权。没有登录就直接在地址栏输入url等情况下会出现。
https://i-blog.csdnimg.cn/blog_migrate/c482d264f1e3239c1b8438c2b84dff28.png
401
404,页面不存在,检查url是否精确
https://i-blog.csdnimg.cn/blog_migrate/ebe81d77f305a6781e0af7735141fc09.png
404 Not Found
405,方法被禁止,检查使用方法是否精确
https://i-blog.csdnimg.cn/blog_migrate/9e86f2f58e879b1c547910c64304c29d.png
405 Method Not Allowed
其他的还碰到一些,等碰到了再增补。
有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请实时联系。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]