网络协议是计算机之间为了实现网络通信而达成的一种“约定”或者”规则“,有了这种”约定“,不同厂商的生产设备,以及不同操作系统组成的计算机之间,就可以实现通信。
2.http协议是什么?
http协议是超文本传输协议的缩写,英文是hyper text transfer protocol。它是从web服务器传输超文本标记语言(html)到本地浏览器的传送协议。
设计http最初的目的是为了提供一种发布和接收html页面的方法。
htpp有多个版本,目前广泛使用的是http/1.1版本。
3.http原理
http是一个基于tcp/ip通信协议来传递数据的协议,传输的数据类型为html 文件,、图片文件, 查询结果等。
http协议一般用于b/s架构()。浏览器作为http客户端通过url向http服务端即web服务器发送所有请求。
我们以访问百度为例:
访问百度流程4.http特点
http协议支持客户端/服务端模式,也是一种请求/响应模式的协议。
简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有get、head、post。
灵活:http允许传输任意类型的数据对象。传输的类型由content-type加以标记。
无连接:限制每次连接只处理一个请求。服务器处理完请求,并收到客户的应答后,即断开连接,但是却不利于客户端与服务器保持会话连接,为了弥补这种不足,产生了两项记录http状态的技术,一个叫做cookie,一个叫做session。
无状态:无状态是指协议对于事务处理没有记忆,后续处理需要前面的信息,则必须重传。
5.uri和url的区别
http使用统一资源标识符(uniform resource identifiers, uri)来传输数据和建立连接。
uri:uniform resource identifier 统一资源标识符
url:uniform resource location 统一资源定位符
uri 是用来标示 一个具体的资源的,我们可以通过 uri 知道一个资源是什么。
url 则是用来定位具体的资源的,标示了一个具体的资源位置。互联网上的每个文件都有一个唯一的url。
6.http报文组成
请求报文构成
1、请求行:包括请求方法、url、协议/版本
2、请求头(request header)
3、请求正文
请求报文组成响应报文构成
1、状态行
2、响应头
3、响应正文
响应报文组成7.常见请求方法
get:请求指定的页面信息,并返回实体主体。
post:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。post请求可能会导致新的资源的建立和/或已有资源的修改。
head:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头
put:从客户端向服务器传送的数据取代指定的文档的内容。
delete:请求服务器删除指定的页面。
get请求
get请求post请求
post请求post和get的区别:
都包含请求头请求行,post多了请求body。
get多用来查询,请求参数放在url中,不会对服务器上的内容产生作用。post用来提交,如把账号密码放入body中。
get是直接添加到url后面的,直接就可以在url中看到内容,而post是放在报文内部的,用户无法直接看到。
get提交的数据长度是有限制的,因为url长度有限制,具体的长度限制视浏览器而定。而post没有。
8.响应状态码
访问一个网页时,浏览器会向web服务器发出请求。此网页所在的服务器会返回一个包含http状态码的信息头用以响应浏览器的请求。
状态码分类:
1xx- 信息型,服务器收到请求,需要请求者继续操作。
2xx- 成功型,请求成功收到,理解并处理。
3xx - 重定向,需要进一步的操作以完成请求。
4xx - 客户端错误,请求包含语法错误或无法完成请求。
5xx - 服务器错误,服务器在处理请求的过程中发生了错误。
常见状态码:
200 ok - 客户端请求成功
301 - 资源(网页等)被永久转移到其它url
302 - 临时跳转
400 bad request - 客户端请求有语法错误,不能被服务器所理解
401 unauthorized - 请求未经授权,这个状态代码必须和www-authenticate报头域一起使用
404 - 请求资源不存在,可能是输入了错误的url
500 - 服务器内部发生了不可预期的错误
503 server unavailable - 服务器当前不能处理客户端的请求,一段时间后可能恢复正常。
9.为什么要用https?
实际使用中,绝大说的网站现在都采用的是https协议,这也是未来互联网发展的趋势。下面是通过wireshark抓取的一个博客网站的登录请求过程。
博客登录抓包可以看到访问的账号密码都是明文传输, 这样客户端发出的请求很容易被不法分子截取利用,因此,http协议不适合传输一些敏感信息,比如:各种账号、密码等信息,使用http协议传输隐私信息非常不安全。
一般http中存在如下问题:
请求信息明文传输,容易被窃听截取。
数据的完整性未校验,容易被篡改
没有验证对方身份,存在冒充危险
10.什么是https?
为了解决上述http存在的问题,就用到了https。
https 协议(hypertext transfer protocol over secure socket layer):一般理解为http+ssl/tls,通过 ssl证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。
那么ssl又是什么?
ssl(secure socket layer,安全套接字层):1994年为 netscape 所研发,ssl 协议位于 tcp/ip 协议与各种应用层协议之间,为数据通讯提供安全支持。
tls(transport layer security,传输层安全):其前身是 ssl,它最初的几个版本(ssl 1.0、ssl 2.0、ssl 3.0)由网景公司开发,1999年从 3.1 开始被 ietf 标准化并改名,发展至今已经有 tls 1.0、tls 1.1、tls 1.2 三个版本。ssl3.0和tls1.0由于存在安全漏洞,已经很少被使用到。tls 1.3 改动会比较大,目前还在草案阶段,目前使用最广泛的是tls 1.1、tls 1.2。
ssl发展史(互联网加密通信)
1、1994年netspace公司设计ssl协议(secure sockets layout)1.0版本,但未发布。
2、1995年netspace发布ssl/2.0版本,很快发现有严重漏洞
3、1996年发布ssl/3.0版本,得到大规模应用
4、1999年,发布了ssl升级版tls/1.0版本,目前应用最广泛的版本
5、2006年和2008年,发布了tls/1.1版本和tls/1.2版本
11.浏览器在使用https传输数据的流程是什么?
https数据传输流程1、首先客户端通过url访问服务器建立ssl连接。
2、服务端收到客户端请求后,会将网站支持的证书信息(证书中包含公钥)传送一份给客户端。
3、客户端的服务器开始协商ssl连接的安全等级,也就是信息加密的等级。
4、客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
5、服务器利用自己的私钥解密出会话密钥。
6、服务器利用会话密钥加密与客户端之间的通信。
12.https的缺点
https协议多次握手,导致页面的加载时间延长近50%;
https连接缓存不如http高效,会增加数据开销和功耗;
申请ssl证书需要钱,功能越强大的证书费用越高。
ssl涉及到的安全算法会消耗 cpu 资源,对服务器资源消耗较大。
13.总结https和http的区别
https是http协议的安全版本,http协议的数据传输是明文的,是不安全的,https使用了ssl/tls协议进行了加密处理。
http和https使用连接方式不同,默认端口也不一样,http是80,https是443。
推荐教程:web服务器安全
以上就是快速了解http和https协议!的详细内容。