深入了解http協定
http是hyper text transfer protocol(超文本傳輸協定)的縮寫。它的發展是網際網路協會(world wide web consortium)和internet工作小組ietf(internet engineering task force)合作的結果,(他們)最終釋出了一系列的rfc,rfc 1945定義了http/1.0版本。其中最著名的就是rfc 2616。rfc 2616定義了今天普遍使用的一個版本——http 1.1。
http協定(hypertext transfer protocol,超文本傳輸協定)是用于從www伺服器傳輸超文本到本地浏覽器的傳送協定。它可以使浏覽器更加高效,使網絡傳輸減少。它不僅保證計算機正确快速地傳輸超文本文檔,還确定傳輸文檔中的哪一部分,以及哪部分内容首先顯示(如文本先于圖形)等。
http是一個應用層協定,由請求和響應構成,是一個标準的用戶端伺服器模型。http是一個無狀态的協定。
http協定通常承載于tcp協定之上,有時也承載于tls或ssl協定層之上,這個時候,就成了我們常說的https。如下圖所示:
預設http的端口号為80,https的端口号為443。
http協定永遠都是用戶端發起請求,伺服器回送響應。見下圖:
這樣就限制了使用http協定,無法實作在用戶端沒有發起請求的時候,伺服器将消息推送給用戶端。
http協定是一個無狀态的協定,同一個用戶端的這次請求和上次請求是沒有對應關系。
一次http操作稱為一個事務,其工作過程可分為四步:
1)首先客戶機與伺服器需要建立連接配接。隻要單擊某個超級連結,http的工作開始。
2)建立連接配接後,客戶機發送一個請求給伺服器,請求方式的格式為:統一資源辨別符(url)、協定版本号,後邊是mime資訊包括請求修飾符、客戶機資訊和可能的内容。
3)伺服器接到請求後,給予相應的響應資訊,其格式為一個狀态行,包括資訊的協定版本号、一個成功或錯誤的代碼,後邊是mime資訊包括伺服器資訊、實體資訊和可能的内容。
4)用戶端接收伺服器所傳回的資訊通過浏覽器顯示在使用者的顯示屏上,然後客戶機與伺服器斷開連接配接。
如果在以上過程中的某一步出現錯誤,那麼産生錯誤的資訊将傳回到用戶端,有顯示屏輸出。對于使用者來說,這些過程是由http自己完成的,使用者隻要用滑鼠點選,等待資訊顯示就可以了。
打開wireshark,選擇工具欄上的“capture”->“options”,界面選擇如圖1所示:
圖1 設定capture選項
一般讀者隻需要選擇最上邊的下拉框,選擇合适的device,而後點選“capture filter”,此處選擇的是“http tcp port(80)”,選擇後點選上圖的“start”開始抓包。
圖2 選擇capture filter
http://www.blogjava.net/images/blogjava_net/amigoxie/40799/o_http%e5%8d%8f%e8%ae%ae%e5%ad%a6%e4%b9%a0-%e6%a6%82%e5%bf%b5-3.jpg
圖3 抓包
在上圖中,可清晰的看到用戶端浏覽器(ip為192.168.2.33)與伺服器的互動過程:
1)no1:浏覽器(192.168.2.33)向伺服器(220.181.50.118)發出連接配接請求。此為tcp三次握手第一步,此時從圖中可以看出,為syn,seq:x (x=0)
2)no2:伺服器(220.181.50.118)回應了浏覽器(192.168.2.33)的請求,并要求确認,此時為:syn,ack,此時seq:y(y為0),ack:x+1(為1)。此為三次握手的第二步;
3)no3:浏覽器(192.168.2.33)回應了伺服器(220.181.50.118)的确認,連接配接成功。為:ack,此時seq:x+1(為1),ack:y+1(為1)。此為三次握手的第三步;
4)no4:浏覽器(192.168.2.33)發出一個頁面http請求;
5)no5:伺服器(220.181.50.118)确認;
6)no6:伺服器(220.181.50.118)發送資料;
7)no7:用戶端浏覽器(192.168.2.33)确認;
8)no14:用戶端(192.168.2.33)發出一個圖檔http請求;
9)no15:伺服器(220.181.50.118)發送狀态響應碼200 ok
……
每個頭域由一個域名,冒号(:)和域值三部分組成。域名是大小寫無關的,域值前可以添加任何數量的空格符,頭域可以被擴充為多行,在每行開始處,使用至少一個空格或制表符。
在抓包的圖中,no14點開可看到如圖4所示:
圖4 http請求消息
回應的消息如圖5所示:
圖5 http狀态響應資訊
host頭域指定請求資源的intenet主機和端口号,必須表示請求url的原始伺服器或網關的位置。http/1.1請求必須包含主機頭域,否則系統會以400狀态碼傳回。
圖5中host那行為:
referer頭域允許用戶端指定請求uri的源資源位址,這可以允許伺服器生成回退連結清單,可用來登陸、優化cache等。他也允許廢除的或錯誤的連接配接由于維護的目的被追蹤。如果請求的uri沒有自己的uri位址,referer不能被發送。如果指定的是部分uri位址,則此位址應該是一個相對位址。
在圖4中,referer行的内容為:
user-agent頭域的内容包含送出請求的使用者資訊。
在圖4中,user-agent行的内容為:
cache-control指定請求和響應遵循的緩存機制。在請求消息或響應消息中設定cache-control并不會修改另一個消息處理過程中的緩存處理過程。請求時的緩存指令包括no-cache、no-store、max-age、max-stale、min-fresh、only-if-cached,響應消息中的指令包括public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate、max-age。
在圖5中的該頭域為:
date頭域表示消息發送的時間,時間的描述格式由rfc822定義。例如,date:mon,31dec200104:25:57gmt。date描述的時間表示世界标準時,換算成本地時間,需要知道使用者所在的時區。
圖5中,該頭域如下圖所示:
一個傳輸層的實際環流,它是建立在兩個互相通訊的應用程式之間。
在http1.1,request和reponse頭中都有可能出現一個connection的頭,此header的含義是當client和server通信時對于長連結如何進行處理。
在http1.1中,client和server都是預設對方支援長連結的, 如果client使用http1.1協定,但又不希望使用長連結,則需要在header中指明connection的值為close;如果server方也不想支援長連結,則在response中也需要明确說明connection的值為close。不論request還是response的header中包含了值為close的connection,都表明目前正在使用的tcp連結在當天請求處理完畢後會被斷掉。以後client再進行新的請求時就必須建立新的tcp連結了。
http通訊的基本機關,包括一個結構化的八元組序列并通過連接配接傳輸。
一個從用戶端到伺服器的請求資訊包括應用于資源的方法、資源的辨別符和協定的版本号。
一個從伺服器傳回的資訊包括http協定的版本号、請求的狀态(例如“成功”或“沒找到”)和文檔的mime類型。
由uri辨別的網絡資料對象或服務。
資料資源或來自服務資源的回映的一種特殊表示方法,它可能被包圍在一個請求或響應資訊中。一個實體包括實體頭資訊和實體的本身内容。
一個為發送請求目的而建立連接配接的應用程式。
初始化一個請求的客戶機。它們是浏覽器、編輯器或其它使用者工具。
一個接受連接配接并對請求傳回資訊的應用程式。
是一個給定資源可以在其上駐留或被建立的伺服器。
一個中間程式,它可以充當一個伺服器,也可以充當一個客戶機,為其它客戶機建立請求。請求是通過可能的翻譯在内部或經過傳遞到其它的伺服器中。一個代理在發送請求資訊之前,必須解釋并且如果可能重寫它。
代理經常作為通過防火牆的客戶機端的門戶,代理還可以作為一個幫助應用來通過協定處理沒有被使用者代理完成的請求。
一個作為其它伺服器中間媒介的伺服器。與代理不同的是,網關接受請求就好象對被請求的資源來說它就是源伺服器;送出請求的客戶機并沒有意識到它在同網關打交道。
網關經常作為通過防火牆的伺服器端的門戶,網關還可以作為一個協定翻譯器以便存取那些存儲在非http系統中的資源。
是作為兩個連接配接中繼的中介程式。一旦激活,通道便被認為不屬于http通訊,盡管通道可能是被一個http請求初始化的。當被中繼的連接配接兩端關閉時,通道便消失。當一個門戶(portal)必須存在或中介(intermediary)不能解釋中繼的通訊時通道被經常使用。
反應資訊的局域存儲。
《分析tcp的三次握手》:
<a target="_blank" href="http://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece763104c8c711923d030678197027fa3c215cc7905141130a8e5747e0d548d98297a5ae91e03f7f63772315477e3cacdd94cdbbdc42225d82c36734f844315c419d891007a9f34d507a9f916a2e1b065d2f48193864353bb15543897f1fb4d711edd1b86033093b1e94e022e67adec40728e2e605f983431c5508fe4&p=c6769a46c5820efd08e2973b42&user=baidu">http://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece763104c8c711923d030678197027fa3c215cc7905141130a8e5747e0d548d98297a5ae91e03f7f63772315477e3cacdd94cdbbdc42225d82c36734f844315c419d891007a9f34d507a9f916a2e1b065d2f48193864353bb15543897f1fb4d711edd1b86033093b1e94e022e67adec40728e2e605f983431c5508fe4&p=c6769a46c5820efd08e2973b42&user=baidu</a>
《使用wireshark來檢測一次http連接配接過程》:
http://blog.163.com/wangbo_tester/blog/static/12806792120098174162288/
《http協定中connection頭的作用》:
rfc 1945定義了http/1.0版本,rfc 2616定義了http/1.1版本。
筆者在blog上提供了這兩個rfc中文版的下載下傳位址。
rfc1945下載下傳位址:
http://www.blogjava.net/files/amigoxie/rfc1945(http)中文版.rar
rfc2616下載下傳位址:
http://www.blogjava.net/files/amigoxie/rfc2616(http)中文版.rar
http/1.0 每次請求都需要建立新的tcp連接配接,連接配接不能複用。http/1.1 新的請求可以在上次請求建立的tcp連接配接之上發送,連接配接可以複用。優點是減少重複進行tcp三次握手的開銷,提高效率。
注意:在同一個tcp連接配接中,新的請求需要等上次請求收到響應後,才能發送。
http1.1在request消息頭裡頭多了一個host域, http1.0則沒有這個域。
eg:
get /pub/www/theproject.html http/1.1
host: www.w3.org
可能http1.0的時候認為,建立tcp連接配接的時候已經指定了ip位址,這個ip位址上隻有一個host。
(接收方向)
無論是http1.0還是http1.1,都要能解析下面三種date/time stamp:
sun, 06 nov 1994 08:49:37 gmt ; rfc 822, updated by rfc 1123
sunday, 06-nov-94 08:49:37 gmt ; rfc 850, obsoleted by rfc 1036
sun nov 6 08:49:37 1994 ; ansi c's asctime() format
(發送方向)
http1.0要求不能生成第三種asctime格式的date/time stamp;
http1.1則要求隻生成rfc 1123(第一種)格式的date/time stamp。
狀态響應碼100 (continue) 狀态代碼的使用,允許用戶端在發request消息body之前先用request header試探一下server,看server要不要接收request body,再決定要不要發request body。
用戶端在request頭部中包含
expect: 100-continue
server看到之後呢如果回100 (continue) 這個狀态代碼,用戶端就繼續發request body。這個是http1.1才有的。
另外在http/1.1中還增加了101、203、205等等性狀态響應碼
http1.1增加了options, put, delete, trace, connect這些request方法.
method = "options" ; section 9.2
| "get" ; section 9.3
| "head" ; section 9.4
| "post" ; section 9.5
| "put" ; section 9.6
| "delete" ; section 9.7
| "trace" ; section 9.8
| "connect" ; section 9.9
| extension-method
extension-method = token
請求消息格式如下所示:
請求行
通用資訊頭|請求頭|實體頭
crlf(回車換行)
實體内容
其中“請求行”為:請求行 = 方法 [空格] 請求uri [空格] 版本号 [回車換行]
請求行執行個體:
eg1:
get /index.html http/1.1
eg2:
http請求消息執行個體:
get /hello.htm http/1.1
accept: */*
accept-language: zh-cn
accept-encoding: gzip, deflate
if-modified-since: wed, 17 oct 2007 02:15:55 gmt
if-none-match: w/"158-1192587355000"
user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)
host: 192.168.2.162:8080
connection: keep-alive
http的請求方法包括如下幾種:
q get
q post
q head
q put
q delete
q options
q trace
q connect
http響應消息的格式如下所示:
狀态行
通用資訊頭|響應頭|實體頭
crlf
其中:狀态行 = 版本号 [空格] 狀态碼 [空格] 原因 [回車換行]
狀态行舉例:
http/1.0 200 ok
eg2:
http/1.1 400 bad request
http響應消息執行個體如下所示:
http/1.1 200 ok
etag: w/"158-1192590101000"
last-modified: wed, 17 oct 2007 03:01:41 gmt
content-type: text/html
content-length: 158
date: wed, 17 oct 2007 03:01:59 gmt
server: apache-coyote/1.1
2.3.2 http的狀态響應碼
100——客戶必須繼續送出請求
101——客戶要求伺服器根據請求轉換http協定版本
200——交易成功
201——提示知道新檔案的url
202——接受和處理、但處理未完成
203——傳回資訊不确定或不完整
204——請求收到,但傳回資訊為空
205——伺服器完成了請求,使用者代理必須複位目前已經浏覽過的檔案
206——伺服器已經完成了部分使用者的get請求
300——請求的資源可在多處得到
301——删除請求資料
302——在其他位址發現了請求資料
303——建議客戶通路其他url或通路方式
304——用戶端已經執行了get,但檔案未變化
305——請求的資源必須從伺服器指定的位址得到
306——前一版本http中使用的代碼,現行版本中不再使用
307——申明請求的資源臨時性删除
400——錯誤請求,如文法錯誤
401——未授權
http 401.1 - 未授權:登入失敗
http 401.2 - 未授權:伺服器配置問題導緻登入失敗
http 401.3 - acl 禁止通路資源
http 401.4 - 未授權:授權被篩選器拒絕
http 401.5 - 未授權:isapi 或 cgi 授權失敗
402——保留有效chargeto頭響應
403——禁止通路
http 403.1 禁止通路:禁止可執行通路
http 403.2 - 禁止通路:禁止讀通路
http 403.3 - 禁止通路:禁止寫通路
http 403.4 - 禁止通路:要求 ssl
http 403.5 - 禁止通路:要求 ssl 128
http 403.6 - 禁止通路:ip 位址被拒絕
http 403.7 - 禁止通路:要求客戶證書
http 403.8 - 禁止通路:禁止站點通路
http 403.9 - 禁止通路:連接配接的使用者過多
http 403.10 - 禁止通路:配置無效
http 403.11 - 禁止通路:密碼更改
http 403.12 - 禁止通路:映射器拒絕通路
http 403.13 - 禁止通路:客戶證書已被吊銷
http 403.15 - 禁止通路:客戶通路許可過多
http 403.16 - 禁止通路:客戶證書不可信或者無效
http 403.17 - 禁止通路:客戶證書已經到期或者尚未生效
404——沒有發現檔案、查詢或url
405——使用者在request-line字段定義的方法不允許
406——根據使用者發送的accept拖,請求資源不可通路
407——類似401,使用者必須首先在代理伺服器上得到授權
408——用戶端沒有在使用者指定的餓時間内完成請求
409——對目前資源狀态,請求不能完成
410——伺服器上不再有此資源且無進一步的參考位址
411——伺服器拒絕使用者定義的content-length屬性請求
412——一個或多個請求頭字段在目前請求中錯誤
413——請求的資源大于伺服器允許的大小
414——請求的資源url長于伺服器允許的長度
415——請求資源不支援請求項目格式
416——請求中包含range請求頭字段,在目前請求資源範圍内沒有range訓示值,請求也不包含if-range請求頭字段
417——伺服器不滿足請求expect頭字段指定的期望值,如果是代理伺服器,可能是下一級伺服器不能滿足請求長。
http 500 - 内部伺服器錯誤
http 500.100 - 内部伺服器錯誤 - asp 錯誤
http 500-11 伺服器關閉
http 500-12 應用程式重新啟動
http 500-13 - 伺服器太忙
http 500-14 - 應用程式無效
http 500-15 - 不允許請求 global.asa
error 501 - 未實作
http 502 - 網關錯誤
在windows下,可使用指令視窗進行http簡單測試。
輸入cmd進入指令視窗,在指令行鍵入如下指令後按回車:
telnet www.baidu.com 80
而後在視窗中按下“ctrl+]”後按回車可讓傳回結果回顯。
接着開始發請求消息,例如發送如下請求消息請求baidu的首頁消息,使用的http協定為http/1.1:
注意:copy如上的消息到指令視窗後需要按兩個回車換行才能得到響應的消息,第一個回車換行是在指令後鍵入回車換行,是http協定要求的。第二個是确認輸入,發送請求。
可看到傳回了200 ok的消息,如下圖所示:
可看到,當采用http/1.1時,連接配接不是在請求結束後就斷開的。若采用http1.0,在指令視窗鍵入:
get /index.html http/1.0
此時可以看到請求結束之後馬上斷開。
讀者還可以嘗試在使用get或post等時,帶上頭域資訊,例如鍵入如下資訊:
connection: close
host: www.baidu.com
2.5 常用的請求方式
常用的請求方式是get和post.
l get方式:是以實體的方式得到由請求uri所指定資源的資訊,如果請求uri隻是一個資料産生過程,那麼最終要在響應實體中傳回的是處理過程的結果所指向的資源,而不是處理過程的描述。
l post方式:用來向目的伺服器送出請求,要求它接受被附在請求後的實體,并把它當作請求隊列中請求uri所指定資源的附加新子項,post被設計成用統一的方法實作下列功能:
1:對現有資源的解釋;
2:向電子公告欄、新聞討論區、郵件清單或類似讨論組發資訊;
3:送出資料塊;
4:通過附加操作來擴充資料庫 。
從上面描述可以看出,get是向伺服器發索取資料的一種請求;而post是向伺服器送出資料的一種請求,要送出的資料位于資訊頭後面的實體中。
get與post方法有以下差別:
(1) 在用戶端,get方式在通過url送出資料,資料在url中可以看到;post方式,資料放置在html header内送出。
(2) get方式送出的資料最多隻能有1024位元組,而post則沒有此限制。
(3) 安全性問題。正如在(1)中提到,使用 get 的時候,參數會顯示在位址欄上,而 post 不會。是以,如果這些資料是中文資料而且是非敏感資料,那麼使用 get;如果使用者輸入的資料不是中文字元而且包含敏感資料,那麼還是使用 post為好。
(4) 安全的和幂等的。所謂安全的意味着該操作用于擷取資訊而非修改資訊。幂等的意味着對同一 url 的多個請求應該傳回同樣的結果。完整的定義并不像看起來那樣嚴格。換句話說,get 請求一般不應産生副作用。從根本上講,其目标是當使用者打開一個連結時,她可以确信從自身的角度來看沒有改變資源。比如,新聞站點的頭版不斷更新。雖然第二次請求會傳回不同的一批新聞,該操作仍然被認為是安全的和幂等的,因為它總是傳回目前的新聞。反之亦然。post 請求就不那麼輕松了。post 表示可能改變伺服器上的資源的請求。仍然以新聞站點為例,讀者對文章的注解應該通過 post 請求實作,因為在注解送出之後站點已經不同了(比方說文章下面出現一條注解)。
http最常見的請求頭如下:
l accept:浏覽器可接受的mime類型;
l accept-charset:浏覽器可接受的字元集;
l accept-encoding:浏覽器能夠進行解碼的資料編碼方式,比如gzip。servlet能夠向支援gzip的浏覽器傳回經gzip編碼的html頁面。許多情形下這可以減少5到10倍的下載下傳時間;
l accept-language:浏覽器所希望的語言種類,當伺服器能夠提供一種以上的語言版本時要用到;
l authorization:授權資訊,通常出現在對伺服器發送的www-authenticate頭的應答中;
l connection:表示是否需要持久連接配接。如果servlet看到這裡的值為“keep-alive”,或者看到請求使用的是http 1.1(http 1.1預設進行持久連接配接),它就可以利用持久連接配接的優點,當頁面包含多個元素時(例如applet,圖檔),顯著地減少下載下傳所需要的時間。要實作這一點,servlet需要在應答中發送一個content-length頭,最簡單的實作方法是:先把内容寫入bytearrayoutputstream,然後在正式寫出内容之前計算它的大小;
l content-length:表示請求消息正文的長度;
l cookie:這是最重要的請求頭資訊之一;
l from:請求發送者的email位址,由一些特殊的web客戶程式使用,浏覽器不會用到它;
l host:初始url中的主機和端口;
l if-modified-since:隻有當所請求的内容在指定的日期之後又經過修改才傳回它,否則傳回304“not modified”應答;
l pragma:指定“no-cache”值表示伺服器必須傳回一個重新整理後的文檔,即使它是代理伺服器而且已經有了頁面的本地拷貝;
l referer:包含一個url,使用者從該url代表的頁面出發通路目前請求的頁面。
l user-agent:浏覽器類型,如果servlet傳回的内容與浏覽器類型有關則該值非常有用;
l ua-pixels,ua-color,ua-os,ua-cpu:由某些版本的ie浏覽器所發送的非标準的請求頭,表示螢幕大小、顔色深度、作業系統和cpu類型。
http最常見的響應頭如下所示:
l allow:伺服器支援哪些請求方法(如get、post等);
l content-encoding:文檔的編碼(encode)方法。隻有在解碼之後才可以得到content-type頭指定的内容類型。利用gzip壓縮文檔能夠顯著地減少html文檔的下載下傳時間。java的gzipoutputstream可以很友善地進行gzip壓縮,但隻有unix上的netscape和windows上的ie 4、ie 5才支援它。是以,servlet應該通過檢視accept-encoding頭(即request.getheader("accept-encoding"))檢查浏覽器是否支援gzip,為支援gzip的浏覽器傳回經gzip壓縮的html頁面,為其他浏覽器傳回普通頁面;
l content-length:表示内容長度。隻有當浏覽器使用持久http連接配接時才需要這個資料。如果你想要利用持久連接配接的優勢,可以把輸出文檔寫入bytearrayoutputstram,完成後檢視其大小,然後把該值放入content-length頭,最後通過bytearraystream.writeto(response.getoutputstream()發送内容;
l content-type: 表示後面的文檔屬于什麼mime類型。servlet預設為text/plain,但通常需要顯式地指定為text/html。由于經常要設定content-type,是以httpservletresponse提供了一個專用的方法setcontenttyep。 可在web.xml檔案中配置擴充名和mime類型的對應關系;
l date:目前的gmt時間。你可以用setdateheader來設定這個頭以避免轉換時間格式的麻煩;
l expires:指明應該在什麼時候認為文檔已經過期,進而不再緩存它。
l last-modified:文檔的最後改動時間。客戶可以通過if-modified-since請求頭提供一個日期,該請求将被視為一個條件get,隻有改動時間遲于指定時間的文檔才會傳回,否則傳回一個304(not modified)狀态。last-modified也可用setdateheader方法來設定;
l location:表示客戶應當到哪裡去提取文檔。location通常不是直接設定的,而是通過httpservletresponse的sendredirect方法,該方法同時設定狀态代碼為302;
http-equiv="refresh" ...>。注意refresh頭不屬于http 1.1正式規範的一部分,而是一個擴充,但netscape和ie都支援它。
實體頭用坐實體内容的元資訊,描述了實體内容的屬性,包括實體資訊類型,長度,壓縮方法,最後一次修改時間,資料有效性等。
l allow:get,post
l content-encoding:文檔的編碼(encode)方法,例如:gzip,見“2.5 響應頭”;
l content-language:内容的語言類型,例如:zh-cn;
l content-length:表示内容長度,eg:80,可參考“2.5響應頭”;
l content-md5:md5 實體的一種md5摘要,用作校驗和。發送方和接受方都計算md5摘要,接受方将其計算的值與此頭标中傳遞的值進行比較。eg1:content-md5: <base64 of 128 md5 digest>。eg2:dfdfdfdfdfdfdff==;
l content-range:随部分實體一同發送;标明被插入位元組的低位與高位位元組偏移,也标明此實體的總長度。eg1:content-range: 1001-2000/5000,eg2:bytes 2543-4532/7898
l content-type:标明發送或者接收的實體的mime類型。eg:text/html; charset=gb2312 主類型/子類型;
l expires:為0證明不緩存;
l last-modified:web 伺服器認為對象的最後修改時間,比如檔案的最後修改時間,動态頁面的最後産生時間等等。例如:last-modified:tue, 06 may 2008 02:42:43 gmt.
在http消息中,也可以使用一些再http1.1正式規範裡沒有定義的頭字段,這些頭字段統稱為自定義的http頭或者擴充頭,他們通常被當作是一種實體頭處理。
現在流行的浏覽器實際上都支援cookie,set-cookie,refresh和content-disposition等幾個常用的擴充頭字段。
l refresh:1;url=http://www.dfdf.org //過1秒跳轉到指定位置;
l content-disposition:頭字段,可參考“2.5響應頭”;
l content-type:web 伺服器告訴浏覽器自己響應的對象的類型。
eg1:content-type:application/xml ;
eg2:applicaiton/octet-stream;
content-disposition:attachment; filename=aaa.zip。
附錄:參考資料
《http1.1和http1.0的差別》:
<a target="_blank" href="http://blog.csdn.net/yanghehong/archive/2009/05/28/4222594.aspx">http://blog.csdn.net/yanghehong/archive/2009/05/28/4222594.aspx</a>
《http請求(get和post差別)和響應》:
<a target="_blank" href="http://www.blogjava.net/honeybee/articles/164008.html">http://www.blogjava.net/honeybee/articles/164008.html</a>
《http請求頭概述_百度知道》:
<a target="_blank" href="http://zhidao.baidu.com/question/32517427.html">http://zhidao.baidu.com/question/32517427.html</a>
《實體頭和擴充頭》:
<a target="_blank" href="http://www.cnblogs.com/tongzhiyong/archive/2008/03/16/1108776.html">http://www.cnblogs.com/tongzhiyong/archive/2008/03/16/1108776.html</a>
3. 深入了解篇
cookie和session都為了用來儲存狀态資訊,都是儲存用戶端狀态的機制,它們都是為了解決http無狀态的問題而所做的努力。
session可以用cookie來實作,也可以用url回寫的機制來實作。用cookie來實作的session可以認為是對cookie更進階的應用。
cookie和session有以下明顯的不同點:
1)cookie将狀态儲存在用戶端,session将狀态儲存在伺服器端;
2)cookies是伺服器在本地機器上存儲的小段文本并随每一個請求發送至同一個伺服器。cookie最早在rfc2109中實作,後續rfc2965做了增強。網絡伺服器用http頭向用戶端發送cookies,在客戶終端,浏覽器解析這些cookies并将它們儲存為一個本地檔案,它會自動将同一伺服器的任何請求縛上這些cookies。session并沒有在http的協定中定義;
3)session是針對每一個使用者的,變量的值儲存在伺服器上,用一個sessionid來區分是哪個使用者session變量,這個值是通過使用者的浏覽器在通路的時候傳回給伺服器,當客戶禁用cookie時,這個值也可能設定為由get來傳回給伺服器;
4)就安全性來說:當你通路一個使用session 的站點,同時在自己機子上建立一個cookie,建議在伺服器端的session機制更安全些.因為它不會任意讀取客戶存儲的資訊。
session機制是一種伺服器端的機制,伺服器使用一種類似于散清單的結構(也可能就是使用散清單)來儲存資訊。
當程式需要為某個用戶端的請求建立一個session的時候,伺服器首先檢查這個用戶端的請求裡是否已包含了一個session辨別 - 稱為 session id,如果已包含一個session id則說明以前已經為此用戶端建立過session,伺服器就按照session id把這個 session檢索出來使用(如果檢索不到,可能會建立一個),如果用戶端請求不包含session id,則為此用戶端建立一個session并且生成一個與此session相關聯的session id,session id的值應該是一個既不會重複,又不容易被找到規律以仿造的字元串,這個 session id将被在本次響應中傳回給用戶端儲存。
伺服器給每個session配置設定一個唯一的jsessionid,并通過cookie發送給用戶端。
當用戶端發起新的請求的時候,将在cookie頭中攜帶這個jsessionid。這樣伺服器能夠找到這個用戶端對應的session。
流程如下圖所示:
url回寫是指伺服器在發送給浏覽器頁面的所有連結中都攜帶jsessionid的參數,這樣用戶端點選任何一個連結都會把jsessionid帶會伺服器。
如果直接在浏覽器輸入服務端資源的url來請求該資源,那麼session是比對不到的。
tomcat對session的實作,是一開始同時使用cookie和url回寫機制,如果發現用戶端支援cookie,就繼續使用cookie,停止使用url回寫。如果發現cookie被禁用,就一直使用url回寫。jsp開發處理到session的時候,對頁面中的連結記得使用response.encodeurl() 。
1)session逾時:session在指定時間内失效,例如30分鐘,若在30分鐘内沒有操作,則session會失效,例如在web.xml中進行了如下設定:
<session-config>
<session-timeout>30</session-timeout> //機關:分鐘
</session-config>
2)使用session.invalidate()明确的去掉session。
1)cookie:用戶端将伺服器設定的cookie傳回到伺服器;
2)set-cookie:伺服器向用戶端設定cookie;
3)cookie2 (rfc2965)):用戶端訓示伺服器支援cookie的版本;
4)set-cookie2 (rfc2965):伺服器向用戶端設定cookie。
伺服器在響應消息中用set-cookie頭将cookie的内容回送給用戶端,用戶端在新的請求中将相同的内容攜帶在cookie頭中發送給伺服器。進而實作會話的保持。
web緩存(cache)位于web伺服器和用戶端之間。
緩存會根據請求儲存輸出内容的副本,例如html頁面,圖檔,檔案,當下一個請求來到的時候:如果是相同的url,緩存直接使用副本響應通路請求,而不是向源伺服器再次發送請求。
http協定定義了相關的消息頭來使web緩存盡可能好的工作。
q 減少相應延遲:因為請求從緩存伺服器(離用戶端更近)而不是源伺服器被相應,這個過程耗時更少,讓web伺服器看上去相應更快。
q 減少網絡帶寬消耗:當副本被重用時會減低用戶端的帶寬消耗;客戶可以節省帶寬費用,控制帶寬的需求的增長并更易于管理。
q expires:訓示響應内容過期的時間,格林威治時間gmt
q cache-control:更細緻的控制緩存的内容
q last-modified:響應中資源最後一次修改的時間
q etag:響應中資源的校驗值,在伺服器上某個時段是唯一辨別的。
q date:伺服器的時間
q if-modified-since:用戶端存取的該資源最後一次修改的時間,同last-modified。
q if-none-match:用戶端存取的該資源的檢驗值,同etag。
伺服器收到請求時,會在200ok中回送該資源的last-modified和etag頭,用戶端将該資源儲存在cache中,并記錄這兩個屬性。當用戶端需要發送相同的請求時,會在請求中攜帶if-modified-since和if-none-match兩個頭。兩個頭的值分别是響應中last-modified和etag頭的值。伺服器通過這兩個頭判斷本地資源未發生變化,用戶端不需要重新下載下傳,傳回304響應。常見流程如下圖所示:
http/1.1中緩存的目的是為了在很多情況下減少發送請求,同時在許多情況下可以不需要發送完整響應。前者減少了網絡回路的數量;http利用一個“過期(expiration)”機制來為此目的。後者減少了網絡應用的帶寬;http用“驗證(validation)”機制來為此目的。
http定義了3種緩存機制:
1)freshness:允許一個回應消息可以在源伺服器不被重新檢查,并且可以由伺服器和用戶端來控制。例如,expires回應頭給了一個文檔不可用的時間。cache-control中的max-age辨別指明了緩存的最長時間;
2)validation:用來檢查以一個緩存的回應是否仍然可用。例如,如果一個回應有一個last-modified回應頭,緩存能夠使用if-modified-since來判斷是否已改變,以便判斷根據情況發送請求;
3)invalidation: 在另一個請求通過緩存的時候,常常有一個副作用。例如,如果一個url關聯到一個緩存回應,但是其後跟着post、put和delete的請求的話,緩存就會過期。
q http協定的get方法,支援隻請求某個資源的某一部分;
q 206 partial content 部分内容響應;
q range 請求的資源範圍;
q content-range 響應的資源範圍;
q 在連接配接斷開重連時,用戶端隻請求該資源未下載下傳的部分,而不是重新請求整個資源,來實作斷點續傳。
分塊請求資源執行個體:
eg1:range: bytes=306302- :請求這個資源從306302個位元組到末尾的部分;
eg2:content-range: bytes 306302-604047/604048:響應中訓示攜帶的是該資源的第306302-604047的位元組,該資源共604048個位元組;
用戶端通過并發的請求相同資源的不同片段,來實作對某個資源的并發分塊下載下傳。進而達到快速下載下傳的目的。目前流行的flashget和迅雷基本都是這個原理。
多線程下載下傳的原理:
q 下載下傳工具開啟多個發出http請求的線程;
q 每個http請求隻請求資源檔案的一部分:content-range: bytes 20000-40000/47000;
q 合并每個線程下載下傳的檔案。
https(全稱:hypertext transfer protocol over secure socket layer),是以安全為目标的http通道,簡單講是http的安全版。即http下加入ssl層,https的安全基礎是ssl,是以加密的詳細内容請看ssl。
見下圖:
https所用的端口号是443。
有兩種基本的加解密算法類型:
1)對稱加密:密鑰隻有一個,加密解密為同一個密碼,且加解密速度快,典型的對稱加密算法有des、aes等;
2)非對稱加密:密鑰成對出現(且根據公鑰無法推知私鑰,根據私鑰也無法推知公鑰),加密解密使用不同密鑰(公鑰加密需要私鑰解密,私鑰加密需要公鑰解密),相對對稱加密速度較慢,典型的非對稱加密算法有rsa、dsa等。
下面看一下https的通信過程:
https通信的優點:
1)用戶端産生的密鑰隻有用戶端和伺服器端能得到;
2)加密的資料隻有用戶端和伺服器端才能得到明文;
3)用戶端到服務端的通信是安全的。
代理伺服器英文全稱是proxy server,其功能就是代理網絡使用者去取得網絡資訊。形象的說:它是網絡資訊的中轉站。
代理伺服器是介于浏覽器和web伺服器之間的一台伺服器,有了它之後,浏覽器不是直接到web伺服器去取回網頁而是向代理伺服器送出請求,request信号會先送到代理伺服器,由代理伺服器來取回浏覽器所需要的資訊并傳送給你的浏覽器。
而且,大部分代理伺服器都具有緩沖的功能,就好象一個大的cache,它有很大的存儲空間,它不斷将新取得資料儲存到它本機的存儲器上,如果浏覽器所請求的資料在它本機的存儲器上已經存在而且是最新的,那麼它就不重新從web伺服器取資料,而直接将存儲器上的資料傳送給使用者的浏覽器,這樣就能顯著提高浏覽速度和效率。
更重要的是:proxy server(代理伺服器)是internet鍊路級網關所提供的一種重要的安全功能,它的工作主要在開放系統互聯(osi)模型的對話層。
主要功能如下:
1)突破自身ip通路限制,通路國外站點。如:教育網、169網等網絡使用者可以通過代理通路國外網站;
2)通路一些機關或團體内部資源,如某大學ftp(前提是該代理位址在該資源的允許通路範圍之内),使用教育網内位址段免費代理伺服器,就可以用于對教育 網開放的各類ftp下載下傳上傳,以及各類資料查詢共享等服務;
3)突破中國電信的ip封鎖:中國電信使用者有很多網站是被限制通路的,這種限制是人為的,不同serve對位址的封鎖是不同的。是以不能通路時可以換一個國 外的代理伺服器試試;
4)提高通路速度:通常代理伺服器都設定一個較大的硬碟緩沖區,當有外界的資訊通過時,同時也将其儲存到緩沖區中,當其他使用者再通路相同的資訊時, 則直接由緩沖區中取出資訊,傳給使用者,以提高通路速度;
5)隐藏真實ip:上網者也可以通過這種方法隐藏自己的ip,免受攻擊。
http代理的圖示見下圖:
對于用戶端浏覽器而言,http代理伺服器相當于伺服器。
而對于web伺服器而言,http代理伺服器又擔當了用戶端的角色。
虛拟主機是用同一個web伺服器,為不同域名網站提供服務的技術。apache、tomcat等均可通過配置實作這個功能。
相關的http消息頭:host。
用戶端發送http請求的時候,會攜帶host頭,host頭記錄的是用戶端輸入的域名。這樣伺服器可以根據host頭确認客戶要通路的是哪一個域名。
《了解cookie和session機制》:
<a target="_blank" href="http://sumongh.javaeye.com/blog/82498">http://sumongh.javaeye.com/blog/82498</a>
《淺析http協定》:
<a target="_blank" href="http://203.208.39.132/search?q=cache:cdxly_88gjij:www.cnblogs.com/gpcuster/archive/2009/05/25/1488749.html+http%e5%8d%8f%e8%ae%ae+web%e7%bc%93%e5%ad%98&cd=27&hl=zh-cn&ct=clnk&gl=cn&st_usg=alhdy2-vzocp8xtg1h7lcrr2gjrktbh2cg">http://203.208.39.132/search?q=cache:cdxly_88gjij:www.cnblogs.com/gpcuster/archive/2009/05/25/1488749.html+http%e5%8d%8f%e8%ae%ae+web%e7%bc%93%e5%ad%98&cd=27&hl=zh-cn&ct=clnk&gl=cn&st_usg=alhdy2-vzocp8xtg1h7lcrr2gjrktbh2cg</a>
《http代理_百度百科》:
<a target="_blank" href="http://baike.baidu.com/view/1159398.htm">http://baike.baidu.com/view/1159398.htm</a>
《虛拟主機_百度百科》:
<a target="_blank" href="http://baike.baidu.com/view/7383.htm">http://baike.baidu.com/view/7383.htm</a>
《https_百度百科》:
<a target="_blank" href="http://baike.baidu.com/view/14121.htm">http://baike.baidu.com/view/14121.htm</a>