当前位置：首页 > news >正文

web基础以及http协议

news 文章来源：https://blog.csdn.net/m0_72009757/article/details/140778337 2024/9/17 8:07:32

⼀、web基本概念和常识

Web：为⽤户提供的⼀种在互联⽹上浏览信息的服务，Web 服务是动态的、可交互的、跨平台的和图形化的。 Web 服务为⽤户提供各种互联⽹服务，这些服务包括信息浏览服务，以及各种交互式服务，包括聊天、购物、学习等等内容。 Web 应⽤开发也经过了⼏代技术的不断发展，⽬前 Web 开发依然是最重要的开发内容之⼀。Web 基础的技术包括超⽂本标记语⾔（HTML）和 HTTP 协议，HTML 是⼀种呈现数据的⽅式（给⼈看的），⽽ HTTP 则是⼀组通信的标准（语法、语义、时许），可以简单的理解为 HTTP 携带 HTML。

1. web 应⽤：

⽹站（⼴义上的PC，⼿机app）

2. 浏览器（Browser）：

也称⽤户代理，web客户端，主要有IE、 Edge、Chrome、Firefox、腾讯浏览器，360浏览器等。 3. web服务器（web server）：

也称HTTP服务器（HTTP server），主要有 Nginx、Apache、Tomcat 等。

⼆、⽹站基础

1、域名域名是⼀个IP地址的“⾯具” ，⽬的是便于记忆和访问⼀个或⼀组服务器的地址（⽹站，电⼦邮件，FTP 等）。

2、域名解析本地HOSTS解析 DNS服务器解析

3、⽹站的基本概念⽹站、⽹⻚、主⻚； HTTP、URL、HTML、超链接

4、web ⽹站 web1.0（以编辑为特征） web2.0（侧重⽤户交互）

5、动态⻚⾯与静态⻚⾯的差别（1）URL不同静态⻚⾯链接⾥没有“?” 动态⻚⾯链接⾥包含“？”

2）后缀不同 (开发语⾔不同)

静态⻚⾯⼀般以 .html .htm .xml 为后缀

动态⻚⾯⼀般以 .php .jsp .py等为后缀

（3）内容不同静态⻚⾯的内容是固定的动态⻚⾯的内容会因⽤户、浏览器、时间、地点等⽽发⽣变化。

6、域名格式 http://（协议头）www.bing.com（域名）/（URI资源：路径/⽂件名）

示例：https://www.bilibili.com/v/game/?spm_id_from=333.85 1.b_7072696d6172794368616e6e656c4d656e75.21

三、HTTP 协议 HTTP协议是超⽂本传输协议的缩写，英⽂是Hyper Text Transfer Protocol。它是从WEB服务器传输超⽂本标记语⾔ (HTML) 到本地浏览器的传送协议。

1、HTTP 原理 HTTP是⼀个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML ⽂件，图⽚⽂件，查询结果等。 HTTP协议⼀般⽤于B/S架构。浏览器作为HTTP客户端通过URL 向HTTP服务端即web服务器发送所有请求，web服务器收到客户端请求后进⾏响应。

2、HTTP 特点

1. http协议⽀持客户端/服务端模式，也是⼀种请求/响应模式的协议。

2. 简单快速：客户向服务器请求服务时，只需传送请求⽅法和路径。请求⽅法常⽤的有GET、HEAD、POST。

3. 灵活：HTTP 允许传输任意类型的数据对象。传输的类型由 Content-Type 加以标记。除开可以响应字符串之外，还可以上传和下载⼆进制⽂件

4. ⽆连接：限制每次连接只处理⼀个请求。服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不⾜，产⽣了两项记录 http 状态的技术，⼀个叫做 Cookie,⼀个叫做 Session。

5. ⽆状态：⽆状态是指协议对于事务处理没有记忆，后续处理需要前⾯的信息，则必须重传。 3、URI 和 URL 的区别

（1）HTTP使⽤统⼀资源标识符（Uniform Resource Identifiers, URI）来传输数据和建⽴连接。 URI：Uniform Resource Identifier 统⼀资源标识符 URL：Uniform Resource Location 统⼀资源定位符

（2）URI 是⽤来标识⼀个具体的资源的，我们可以通过 URI 知道⼀个资源是什么，使⽤它就能够唯⼀地标记互联⽹上资源。

（3）URL 则是⽤来定位具体的资源的，标识了⼀个具体的资源位置。互联⽹上的每个⽂件都有⼀个唯⼀的。

（4）URL，也就是我们俗称的⽹址，它实际上是 URI 的⼀个⼦集。

（5）URI 不仅包括 URL，还包括 URN（统⼀资源名称），它们之间的关系如下

4、HTTP 报⽂组成

（1）客户端发出请求： GET /index.php HTTP/1.5/ Host:zgod.cn

（2）客户端浏览器发送出来的请求格式： GET：这个部分只声明了请求⽅式，除了get ⽅式可能还有 post 等⽅式。GET 表示请求，POST 表示邮寄。 /index.php：这⾥是⼀个URL，表示了我们要访问的资源是哪个。 HTTP/1.5/：这⾥表示的是客户端浏览器使⽤的协议版本是1.5。 Host:zgod.cn：这是请求是交给主机zgod.cn的。

（3）服务器反馈的响应：

（4）服务器反馈的响应报⽂的具体含义： HTTP/1.5：部分表示服务器回馈的对应http版本 (刚才客户端的请求⾥⾯带有版本号，对⽅使⽤的1.5，服务器回馈的也是1.5) 200 ok：这⾥表示的是处理结果的状态码和状态的简单描述(ok) Date:Mon,5 sep 2022 08:49:45 GMT：响应的具体时间 Content-Length:254：响应内容的⻓度 Content-Type:text/html：响应内容的类型响应报⽂中打了⼀个空⾏(换⾏)，当看到响应报⽂中有换⾏时，它的下⾯开始就是客户机要访问的具体资源了。5、HTTP 状态码 2xx：成功，200成功、201已经创建 3xx：重定向，304未修改 4xx：请求错误，404未找到⽂件、408请求超时 5xx：服务器错，500服务器内部错误、502⽹关错误

6、HTTP 报⽂格式⼀个完整的http访问包含请求（request）和响应（response）

（1）请求报⽂客户端发出的报⽂：包含了请求⾏，请求头部字段，通⽤头部字段，实体头部字段及报⽂主体。请求⾏：客户端使⽤的请求⽅法，⽐如 GET，POST等等。同时也包含了URL信息和HTTP的版本号。请求头部字段：它包含了请求的符加信息，⽐如客户端的信息，响应的优先级等等。通⽤头部字段：是请求报⽂和响应报⽂都会使⽤的报⽂内容。实体头部字段：跟实体有关的资源信息，⽐如请求的实体更新时间等。报⽂主体：⼀般来所，请求报⽂在使⽤GET ⽅法时，没有报⽂主体，使⽤ POTS ⽅法时，就会有。

2）常⻅请求⽅法 Ⅰ. 客户端向服务器提出请求的⽅法

1. GET：去向服务器获取资源。即请求指定的⻚⾯信息，并返回实体主体。

1. POST：⽤来传输请求的实体主体。向指定资源提交数据进⾏处理请求。数据被包含在请求体中。POST请求可能会导致新的资源建⽴或已有资源修改。

1. HEAD：从服务器端获取报⽂⾸部信息，确定客户端输⼊的 URL 有效性和资源的更新⽇期。类似于get请求，只不过返回的响应没有具体内容，只⽤于获取头部

1. OPTIONS：⽤来询问服务器⽀持哪些⽅法。即获取服务器⽀持的请求⽅法

. DELETE：⽤来删除⽂件的。请求服务器删除指定的⻚⾯

7、HTTP协议缺点 HTTP协议不会保存状态信息。

⽐如说：客户机对服务器说，请你把之前给我的响应再给我⼀次。那么这个时候服务器端是不会记录之前给了客户机什么东⻄的。它会说，我TM哪⼉记得之前给了你什么啊！? 所以我们说HTTP是⽆状态协议。⽆状态协议不会去保存任何的响应记录，所以服务器的CPU以及 MEM等等资源的消耗上更⼩⼀些。试想，如果我们的服务器要去记录给每个客户机回馈了什么响应，是不是会消耗⾮常⼤的资源。我们说⽆状态协议也是有缺点的，虽然它节省了服务器端的资源，但是因为不能记录客户机的状态信息(⽐如某些站点的登录状态)，会对⽤户造成不太⽅便的使⽤体验。那么由此⼀来，我们就要去说⼀说⼤家都听说过的⼀个技术，叫做 cookie。实际上COOKIE本身就是针对了HTTP⽆状态协议的弊端⽽出现的。它可以通过在请求和响应报⽂当中写⼊cookie 信息来控制/记录客户端的状态。⾸先，客户端对服务器发出访问请求，服务器会通过 cookie 技术在返回给客户端的报⽂当中加⼊⼀个叫做 set-cookie 的⾸部字段信息。告知客户端你要保存cookie。然后，客户端再次向服务器端发送访问请求的时候，客户端会在访问请求的报⽂当中加⼊它存储的 cookie。然后再发送。这个时候，服务器端在接收到请求之后，会检查客户端它发送的请求当中有没有夹着cookie值，再跟以前的记录进⾏⽐对，然后确认⼀下发送请求的客户端是谁，它之前有什么状态。四、HTTPS 协议 HTTP⼀般是明⽂传输，很容易被攻击者窃取重要信息，鉴于此，HTTPS应运⽽⽣。 HTTPS 的全称为（HyperTextTransferProtocoloverSecureSocketLayer）， HTTPS 和 HTTP 有很⼤的不同在于 HTTPS 是以安全为⽬标的 HTTP通道，在HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。 HTTPS 在 HTTP 的基础上增加了 SSL 层，也就是说 HTTPS=HTTP+SSL。 HTTP使⽤明⽂传播，有三⼤⻛险（1）窃听⻛险（eavesdropping）：第三⽅可以获知通信内容。（2）篡改⻛险（tampering）：第三⽅可以修改通信内容。（3）冒充⻛险（pretending）：第三⽅可以冒充他⼈身份参与通信。 SSL/TLS协议是为了解决这三⼤⻛险⽽设计的，希望达到：（1）所有信息都是加密传播，第三⽅⽆法窃听。（2）具有校验机制，⼀旦被篡改，通信双⽅会⽴刻发现。（3）配备身份证书，防⽌⽌身份被冒充。 1、SSL层 SSL层（SecureSocketsLayer安全套接字协议），现在也被称为 TLS。我们都知道SSL中的保证安全的加密通信是⼀次对称加密和⾮对称加密的结果，但是客户端与服务端建⽴通信的前提就是服务端是否能够被证书发型机构CA授予证书，那证书是怎么样的呢？以下是证书类型介绍： SSL：SecureSocketLayer,安全套接字层，http层下新增加的这⼀层构成了https。 TLS：TransportLayerSecurity，同样是为了保证数据安全的加密协议层，是SSL的增强版， SSL 有1.0，2.0，3.0版本，TLS ⽬前 1.0，1.1，1.2，1.3，TLS 的 1.0 版本就是 SSL 的 3.0。 Key：https 中有公钥和私钥，⽤公钥加密的内容，可以使⽤私钥解密，反之亦然，不过我们平常所说的key⽂件是指私钥⽂件。 CSR：CertificateSigningRequest 证书签名请求，⾥⾯包含公钥等个体信息，这个发给公证机构作为申请，通过这个公证机构颁发证书给你。 CRT：certificate 证书⽂件，是证书机构颁发的保证安全通信的⽂件，由域名、公司信息、序列号和签名信息等组成。 CER：也是证书⽂件，和CRT相⽐只是缩写不同，CRT缩写常⻅于类uninx系统，CER缩写常⻅于 Windows 系统。 X.509：这⾥特指颁发的证书的格式，⽽其根据不同的编码格式分为PEM和DER。 a. PEM-PrivacyEnhancedMail，打开看⽂本格式，以“----- BEGIN "开头,"----- END”结尾，内容是 BASE64 编码。 Apache 和 NGINX 服务器偏向于使⽤这种编码格式，这种也是我们所常⻅的。 b. DER-DistinguishedEncodingRules，打开是⼆进制格式，不可读。Java和Windows服务器偏向于使⽤这种编码格式。CA：CatificateAuthority证书颁发机构，它的作⽤就是给各个⽤户签发证书等，⽐如说 Symantec、Comodo、Godaddy、 GolbalSign和Digicert等。 openssl：相当于SSL的⼀个实现，如果把SSL规范看成OO中的接⼝，那么OpenSSL则认为是接⼝的实现，个⼈理解openssl是作为针对SSL/TLS的⼀个⼯具，包括对证书的解析，个⼈颁发，证书编码转化等。

2、HTTPS 安全通信的四⼤原则

（1）机密性就是对数据的加密，在传输数据的过程当中，如果被⼈劫持了数据，那么这个加密的数据对⽅不能轻易获得。

（2）完整性是指数据在发送到接收的过程当中没有被篡改，从⽽接收到的数据是⼀个完整的数据内容。

（3）身份认证数据传输的过程当中对于身份的验证，确认对⽅是传送数据过来的⼈。可以解决冒充这样的⻛险。

（4）不可否认性不能否认已经发⽣的⾏为。⽐如刚才举例双⽅借钱需要有借据并且签名按⼿印，如此⼀来就不能抵赖。

3、通信原理

（1）对称加密对称加密：通信双⽅都使⽤同⼀把密钥给报⽂进⾏加密和解密。（密码验证）对称加密具备速度快，性能⾼的特点。是HTTPS的最终采⽤的加密⽅式。对称加密的通信过程中双⽅都需要同样的密钥。

（2）⾮对称加密⾮对称加密：解决单项对称密钥的传输问题。就是加密和解密的双⽅使⽤不同的密钥。（密钥对验证）公钥，是可以公开的。私钥，不能公开。公钥加密的内容只有私钥可以解密，私钥加密的内容只有公钥可以解密。

（3）对称加密和⾮对称加密的综合版本

1. 某⽹站拥有⽤于⾮对称加密的公钥A、私钥A。

2. 浏览器向⽹站服务器请求，服务器把公钥A明⽂给传输浏览器。

3. 浏览器随机⽣成⼀个⽤于对称加密的密钥X，⽤公钥A加密后传给服务器。

4. 服务器拿到后⽤私钥A解密得到密钥X。

5. 这样双⽅就都拥有密钥X了，且别⼈⽆法知道它。之后双⽅所有数据都通过密钥X加密解密即可。成功！HTTPS基本就是采⽤了这种⽅案。还有⼀个问题，公钥在传输过程中，也有可能被劫持替换，解决办法是数字证书。

（3）CA 认证机构，称为CA。服务端可以向CA申请认证证书，在证书上附加公钥信息，然后发布给客户端。服务端在申请证书的过程中，会提交⽐如DNS主机名等⽹站信息，CA会根据这些信息⽣成证书。

（4）证书如此⼀来，客户端拿到证书之后，就可以获得证书上⾯我们附带的公钥，再⽤这个公钥加密‘对称加密的密钥’传递给服务端。

（5）数字签名证书的真假可以通过数字签名来验证。数字签名就相当于学历证书上的证书编号。

相关文章：