面试官别再问我HTTP了

2021-11-16 13:37:36 浏览数 (1)

HTTP常见的状态响应码

2XX:一般都表示成功

  • 200(OK):服务器成功处理了客户端的请求
  • 204(No Content):与200相同,只不过响应的Body里面没有数据
  • 206(Partial Content):应用于HTTP分块下载和断点续传,表示响应的Body是部分资源

3XX:一般表示客户端请求的资源发生了变动,客户端需要用新的URL再次访问

  • 301(Moved Peromanently):永久重定向,请求的资源不存在,使用新的URL访问
  • 302(Not Found):临时重定向,请求的资源还在,暂时使用另一个URL访问
  • 304(Not Modified):表示资源未修改,重定向已存在的缓冲文件,也称缓存重定向,用于缓存控制

301和302都会在响应头里使用Location字段,指明后续要跳转的URL

4XX:表示客户端发送的报文有错误

  • 400(Bad Request):表示客户端请求的报文有错误
  • 403(Forbidden):服务器禁止访问资源
  • 404(Not Found):客户端请求的资源未找到

5XX:服务器内部处理错误

  • 500(Internal Server Error):服务器内部错误
  • 501(Not Implemented):客户端请求的功能不支持
  • 502(Bad Gateway):服务器自身工作正常,但访问后端服务发生错误,通常是服务器作为网关或代理时返回(比如Nginx)
  • 503(Service Unavailable):服务器繁忙,无法响应

Http的常见字段

Request Headers

  • Host:服务器域名
  • Connection:HTTP/1.1默认都是长连接,为了兼容老版本HTTP,指定此字段的值为keep-alive
  • Accept:客户端指定自己能够接收的数据格式
  • Accept-Encoding:客户端指定自己能够接收的数据压缩方式

Response Headers

  • Content-Length:服务器响应数据的长度
  • Content-Type:告诉客户端服务器返回的数据格式
  • Content-Encoding:告诉客户端服务器返回的数据使用的压缩格式

HTTP请求方式的幂等性?

  • GET:幂等
  • PUT:幂等
  • DELETE:幂等
  • POST:不幂等

HTTP的优点

  • 简单:报文就是header body,形式就是key-value
  • 灵活易于扩展:HTTP请求中的各个字段都没有被固定死,允许自定义扩展
  • 跨平台

HTTP的缺点

  • 无状态:无法记录一些用户登录信息,一些关联的操作比较麻烦(购物车)
  • 不安全

HTTP不安全表现

  • 明文传输,内容被窃听,导致账号信息容易泄漏
  • 不验证通信双方身份,容易遭遇伪装,比如访问假的拼夕夕
  • 无法验证报文完整性,内容被篡改,比如网页植入广告

HTTP与HTTPS的区别

  • HTTP明文传输不安全,HTTPS在TCP和HTTP之间引入SSL/TLS协议可以加密传输
  • HTTP连接建立简单,TCP三次握手以后便可以传输,HTTPS需要在TPC三次握手以后进行SSL/TSL握手,成功以后才可以传输
  • HTTP的端口是80,HTTPS是443
  • HTTPS需要向CA申请数字证书,用来验证服务器身份可靠

HTTPS如何解决安全问题

  • 混合加密解决窃听风险:通信建立前使用非对称加密交换会话密钥,通信过程中使用对称加密加密数据
  • 摘要算法保证数据完整性
  • 数字证书保证服务器可靠

SSL/TLS的握手过程

  1. 首先是由客户端发出加密通信请求(ClientHello),请求中包含的信息如下:
  • 客户端支持的协议版本,比如TLS1.0还是TLS1.2
  • 一个客户端生成的随机数,后面用于生成会话秘钥
  • 客户端支持的加密方式,比如RSA加密算法
  • 支持的压缩方法
  1. 服务器收到ClientHello请求后,进行响应(ServerHello),响应的信息如下:
  • 确认使用的协议版本,如果浏览器与服务器支持的版本不一致,则关闭加密通信
  • 服务器生成的随机数,后面用于生成会话密钥
  • 确认使用的加密方法,比如RSA加密算法
  • 服务器的数字证书
  1. 客户端收到服务端的响应以后需要进行回应,在回应之前会首先通过浏览器或操作系统预置的CA公钥验证数字证书的有效性,如果证书不是可信机构颁发、或者证书中的域名和实际域名不一致,或者证书已过期都会给访问者一个警告,由访问者决定是否继续通信。

如果证书验证没问题,就从证书中取出服务器的公钥,然后使用它加密报文,向服务器发送以下信息:

  • 一个随机数(pre-master key),该随机数会被服务器的公钥加密
  • 加密通信算法改变通知,表示随后的通信都使用会话密钥加密通信
  • 客户端结束握手通知,表示客户端的握手阶段已经结束,同时把之前的内容做个摘要,用来供服务端验证

此时一共有3个随机数,服务器和客户端会通过这三个随机数以及协商好的加密算法,各自生成本次通信的会话密钥。

  1. 服务器在收到客户端的随机数以后(pre-master),通过协商的加密算法,计算出本次通信的会话密钥,向客户端发送以下信息:
  • 加密算法改变通知,表示随后的通信都使用会话密钥加密通信
  • 服务器结束握手通知,表示服务端握手结束,同时把之前的内容做个摘要发送给客户端用来验证

至此,SSL/TLS握手结束,后续就是普通HTTP协议,只不过会使用会话秘钥来加密

HTTP1.1的优点

  • 使用长连接的方式减少了HTTP1.0短连接的性能开销
  • 支持管道传输,请求发出以后不必等待响应即可发送第二个请求

HTTP1.1的缺点

  • 请求响应头部在发送时没有压缩,只能压缩Body
  • 首部过于冗长,相同的首部发送浪费资源
  • 服务器是按照请求顺序响应,容易导致队头阻塞
  • 无法控制请求优先级
  • 请求只能由客户端发起,服务端只能响应

HTTP2的优点

  • 基于HTTPS,安全性得到保障
  • 头部压缩(HPACK算法),提高发送速度
  • 报文采用二进制格式,统称为帧,头信息为头信息帧,数据体为数据帧,接收端在收到报文后无需再解析
  • 数据流,每个请求或响应的所有数据报称为数据流,每个数据流有唯一编号,通过指定数据流的优先级,服务器会根据优先级顺序进行响应
  • 多路复用,响应顺序可以和请求顺序不对应,解决对头阻塞问题
  • 服务器可以主动向客户端发送消息

HTTP2的缺点

  • 多个HTTP请求复用一个TCP连接,如果TCP发生了重传,所有的HTTP请求都必须等待丢了的包被重传回来

基于上述问题HTTP3的下层协议由TCP改为UDP,然后通过QUIC协议保证传输的可靠性,但目前普及速度缓慢,这里就不说了。

0 人点赞