一、HTTP协议
超文本传输协议
请求/响应报文
连接简历流程
HTTP的特点
1.1 请求/响应报文
HTTP的请求方式都有哪些?
GET、POST、HEAD、DELETE、PUT、OPTIONS等
GET和POST方式的区别?
从使用场景的角度回答
image.png
从语义的角度来回答
GET:获取资源,安全的,幂等的,可缓存的
POST:处理资源,非安全的,非幂等的,不可缓存的
安全性:不引起Server端的任何状态变化。get、head、options
幂等性:同一个请求方法执行多次和执行一次的效果完全相同。put、delete
可缓存性:请求是否可以被缓存。get、head
你都了解哪些状态码,他们的含义是什么?
1xx、2xx、3xx、4xx、5xx
200: 响应成功
301、302:发生网络重定向
404:发送请求有问题
502:Server端有问题
1.2 连接建立流程
连接建立流程
三次握手:建立连接;四次挥手:断开连接
为什么进行三次握手而不是两次呢?
要保证TCP的可靠传输,防止超时,报文丢失,报文迟到的情况,下面会做详细解释
为什么断开连接需要双向断开呢?
因为TCP的客户端和服务端都是以全双工的形式工作的,首先客户端向服务端发送关闭写操作,服务端回应客户端关闭读操作,再服务端向客户端关闭写操作,客服端回应关闭写操作。由客户端发起是因为谁发起谁等待的原则,这样可以避免服务端的资源浪费。
1.3 HTTP的特点
HTTP 是一个属于应用层的面向对象的协议,HTTP 协议一共有五大特点:
1、支持客户/服务器模式;
2、简单快速;
3、灵活;
4、无连接;如何建立持久连接(Connection: Keep-Alive)
5、无状态: Cookie/Session
1.3.1 无连接
无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间,解决资源占用问题。
当HTTP请求较多时,重复的建立和断开连接导致效率很低。Keep-Alive功能使客户端到服务器端的连接持续有效,当出现对服务器的后继请求时,Keep-Alive功能避免了建立或者重新建立连接。
HTTP持久连接 ( HTTP persistent connection ,也称作 HTTP keep-alive 或HTTP connection reuse)是使用同一个TCP连接来发送和接收多个HTTP请求/应答,而不是为每一个新的请求/应答打开新的连接的方法。 —— 《维基百科》
优点:提升网络访问的效率。较少的CPU和内存的使用,降低拥塞控制,减少后续请求的延迟。
1、HTTP如何建立持久连接呢? 2、建立持久连接涉及哪些头部字段?
Connection: Keep-Alive
time: 20 // 该条连接持续时间
max: 10 // 最多可以发生多少个请求/响应对
怎么判断一个请求是否结束?
两种判断方式:
Content-length: 1024 根据传输数据的大小
chunked: 最后一个空的chunked
1.3.2 无状态
HTTP是一种无状态协议,意味着每个请求都是独立的,Keep-Alive没有改变这个特点。缺少状态意味着后续处理需要前面的信息,就必须重新传输,这导致每次传输数据量增大。
为了解决这个问题,出现了两种解决方案:
Cookie可以保持登录信息到用户下次与服务器的会话,换句话说,下次访问同一网站时,用户会发现不必输入用户名和密码就已经登录了。与 Cookie相对的一个解决方案是Session,它是通过服务器来保持状态的。当有客户端访问服务器时,服务器根据需求设置Session,将会话信息保存在服务器上,并返回一个SessionID给客户端,客户端保存到内存中,称之为无过期时间的Cookie。客户端关闭后Cookie被清除,他并没有存在于用户的Cookie临时文件中。
1.4 中间人攻击
Charles抓包原理是怎样的?
中间人攻击
中间人攻击 (英语:Man-in-the-middleattack,缩写:MITM)在密码学和计算机安全领域中,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。——《维基百科》
https
htttps建立连接的过程
https通讯过程中都使用了那些加密手段?
TCP和UDP
UDP,用户数据报协议
特点:无连接,尽最大努力交付,面向报文
image.png
功能:复用,分用,差错检测
image.png
差错检测的思路可以用于开发过程中的IM信息的传递的正确性
TCP,传输控制协议
TCP的特点
面向连接:数据传输开始之前,需要建立连接,三次握手。数据传输结束之后,需要释放连接,四次挥手。
可靠传输:无差错,不丢失,不重复,按序到达
面向字节流:
流量控制:*滑动窗口协议
*拥塞控制:慢开始、拥塞避免,快恢复、快重传
无差错
超时重传
确认丢失
确认迟到
面向字节流
滑动窗口协议
可以通过控制接收窗口的大小控制发送窗口的大小,保证数据按序到达。
慢开始、拥塞避免
快恢复、快重传是基于慢开始、拥塞避免的,是将报文的发送个数直接从新的阈值开始拥塞避免的
DNS解析
什么是DNS解析?
域名到IP地址的映射,DNS解析请求采用UDP数据报且明文的。解析过程,客户端向DNS服务发送域名请求,DNS服务根据域名返回对应的IP地址,客户端根据IP地址请求Server端服务器。
DNS查询方式?
递归查询、迭代查询
DNS解析常见问题?
DNS劫持问题:因为DNS解析使用UDP数据报且是明文的。客户端发送域名请求时,容易被钓鱼DNS劫持返回错误的IP地址。
DNS转发
DNS劫持与HTTP有什么关系?
没有关系,DNS劫持是在HTTP建立连接之前。 DNS解析通过UDP数据报,访问53端口。
DNS 劫持解决方案
HTTPDNS、长连接。
Session / Cookie
Session和Cookie是对HTTP协议无状态特点的补偿。在之前提到过Session和Cookie的作用。
Cookie
Cookie主要用来记录用户状态,区分用户; 状态保存在客户端。客户端向服务器发送请求,服务生成Cookie同响应数据一同返回给客户端,客户端保存Cookie。
客户端发送的Cookie是在HTTP请求报文的Cookie首部字段中。 服务端设置HTTP响应报文的Set-Cookie首部字段。
修改Cookie?
新Cookie覆盖旧Cookie。 覆盖时新Cookie字段要与原Cookie一致。 设置Cookie的expires=过去的时间点,或者maxAge=0,可以删除Cookie。
Cookie安全
image.png
Session
Session主要用来记录用户状态,区分用户; 状态保存在服务器端。它是通过服务器来保持状态的。当有客户端访问服务器时,服务器根据需求设置Session,将会话信息保存在服务器上,并返回一个SessionID给客户端,客户端保存到内存中,称之为无过期时间的Cookie。客户端关闭后Cookie被清除,他并没有存在于用户的Cookie临时文件中。
小结
HTTP中GET和POST方式有什么区别?
HTTPS连接建立流程是怎样的?
TCP和UDP有什么区别?
请简述TCP的慢启动过程?
客户端怎样避免DNS劫持?
