一、HTTP

🌷1、HTTP是什么？

🌷2、HTTP的工作过程

🌷3、抓包工具Fiddler的使用

🌷4、HTTP的协议格式（重点）

🌷5、HTTP请求

5.1 请求地址URL

5.2 方法method

5.3 认识请求报头

🌷6、HTTP响应

6.1 状态码

6.2 响应报头

二、HTTPS

🌷1、HTTPS是什么？

🌷2、HTTPS的执行过程（重点）

一、HTTP

🌷1、HTTP是什么？

HTTP（超文本传输协议）是一种应用非常广泛的应用层协议。HTTPs 是在 HTTP基础之上做了一个加密解密的工作。

平时我们打开一个网站，就是通过HTTP协议来传输数据的。（所谓 "超文本" 的含义, 就是传输的内容不仅仅是文本(比如 html, css 这个就是文本), 还可以是一些其他的资源, 比如图片, 视频, 音频等二进制的数据）

一个完整应用是由前端+后端构成的，而前后端之间的通讯是要依靠HTTP来完成的。类似于消费者在网上买东西，商家和买家之间，需要一个快递公司，HTTP就相当于这个快递公司，其中的请求方法GET/POST相当于不同类型的快递类型（比如：标准快递，加急快递）。

HTTP往往是基于传输层的TCP协议实现的，目前我们主要使用的是HTTP1.1和HTTP2.0。

🌷2、HTTP的工作过程

🌷3、抓包工具Fiddler的使用

HTTP 是一个文本格式的协议，可以通过 Chrome 开发者工具或者 Fiddler 抓包，分析 HTTP 请求/响应的细节。

Fiddler相当于一个“代理”：当浏览器访问sogou.com时，就会将HTTP的请求先发送给Fiddler，Fiddler再将请求转发给sogou的服务器，当sogou服务器返回数据的时候，Fiddler拿到返回数据，再将数据交给浏览器。因此，Fiddler对于浏览器和sogou服务器之间交互的数据细节，是非常清楚的。

Fiddler的页面：需要知道

🌷4、HTTP的协议格式（重点）

🍅1、HTTP协议格式总结

（1）Request对象

请求行【方法地址 HTTP版本号】
请求报文【很多项，是Key:value的形式】
空行
请求正文【程序员传递的参数】

（2）Respond对象

响应行【HTTP版本号状态码状态码描述】
响应报头【很多项，是Key:value的形式】
空行
响应正文【程序员返回给前端的数据】

问题：为什么要有空行存在？

因为HTTP协议并没有规定报头部分的键值对有多少个，可能正文里也是Key:value的形式存在的，因此通过空行来区分两者，相当于空行是“报头的结束标记”。HTTP在传输层依赖TCP协议，TCP是面向字节流的，如果没有这个空行，就会出现“粘包问题”。

2、使用Fiddler抓包观察上述HTTP协议的格式

注意观察，与上述图中的格式是一一对应的。

（1）Request

（2）Respond

🌷5、HTTP请求

5.1 请求地址URL

1、举例：一个具体的 URL
可以看到, 在这个 URL 中有些信息被省略了。
（1）https : 协议方案名。常见的有 http 和 https, 也有其他的类型。(例如访问 mysql 时用的
jdbc:mysql )
（2）user:pass : 登陆信息。现在的网站进行身份认证一般不再通过 URL 进行了，一般都会省略。
（3）v.bitedu.vip : 服务器地址。此处是一个 "域名", 域名会通过 DNS 系统解析成一个具体的 IP 地址。(通过 ping 命令可以看到, v.bitedu.vip 的真实 IP 地址为 118.24.113.28 )
（4）端口号: 上面的 URL 中端口号被省略了。当端口号省略的时候, 浏览器会根据协议类型自动决定使用哪个端口。例如 http 协议默认使用 80 端口, https 协议默认使用 443 端口.
（5）/personInf/student : 带层次的文件路径。
（6）userId=10000&classId=100 : 查询字符串(query string)。本质是一个键值对结构，键值对之间使用 & 分隔，键和值之间使用 = 分隔。
（7）片段标识: 此 URL 中省略了片段标识。片段标识主要用于页面内不同元素之间的跳转。

2、URL encode

        像 / ? : 等这样的字符, 已经被url当做特殊意义理解了. 因此这些字符不能随意出现。比如，某个参数中需要带有这些特殊字符，就必须先对特殊字符进行转义。一个中文字符由 UTF-8 或者 GBK 这样的编码方式构成，虽然在 URL 中没有特殊含义，但是仍然需要进行转义，否则浏览器可能把 UTF-8/GBK 编码中的某个字节当做 URL 中的特殊符号。

        转义的规则如下: 将需要转码的字符转为16进制，然后从右到左，取4位(不足4位直接处理)，每2位做一位，前面加上%，编码成%XY格式。



解码的时候：urldecode。urldecode就是urlencode的逆过程。

比如：

5.2 方法method

🍅面试题：Get与Post方法的区别?

（1）数据传输方式

Get请求是通过URL传递的，即将数据拼接到URL的后面，以？分隔，参数之间以&分隔。因此，get请求对于传输的数据大小是有限制的，通常在几千个字符以内；Post请求是将数据放在HTTP请求的请求体（正文）中传输，因此没有大小限制，可以传输较大的数据量。

（2）数据传输安全性

GET传参放在URL里面，请求传输的数据是明文的，因此数据容易被拦截和篡改；而Post请求传输的数据放在请求体中，只有在抓包的时候才能获取信息，因此相对安全一些。

（3）缓存

Get请求是可以被缓存的，当浏览器再次请求同一个URL时，可以从缓存中直接获取数据，加快访问速度；而Post请求是不可以被缓存的，因为每次提交数据都有可能导致服务器状态的改变。

（4）历史记录的安全性问题

Get请求的数据会被浏览器保存在历史记录和服务器日志中，容易被恶意程序利用；Post请求不会被保存在历史记录和服务器日志中，相对更加安全。

5.3 认识请求报头

报头的种类有很多，我们主要认识下面几种常见的。

（1）Host：表示服务器主机的地址和端口。

（2）Content-Length：表示请求体body中的数据长度。

（3）Content-Type：表示请求的 body 中的数据格式。（重要）

常见的：

application/x-www-form-urlencoded: form 表单提交的数据格式；
multipart/form-data: form 表单提交的数据格式(在 form 标签中加上enctyped="multipart/form-data" . 通常用于提交图片/文件；
application/json: 数据为 json 格式。

（4）User-Agent (简称 UA)：表示浏览器/操作系统的属性。
（5）Referer：表示这个页面是从哪个页面跳转过来的。
🍅（6）Cookie（重要）

解决的问题：

        HTTP是基于TCP交互的，在交互的时候存在一个问题，就是HTTP本身是一个无状态的。比如说，现在登录学生系统，然后访问里面的A页面，当要再去访问B页面的时候，由于没有记录当前的登录状态，因此又要再登录一次，所以只要你去访问新的页面，就要不断的进行登录，非常麻烦。因此在登录一次之后，就要将这个登录状态记录下来，但是HTTP不支持。因此通过Cookie加Session解决HTTP无状态的情况。

        Cookie：Cookie中存储了一个字符串，这个数据可能是客户端（网页）通过js写入的，也可能来源于服务器（服务器在HTTP响应的header中通过set-Cookie字段给浏览器返回数据），可以通过这个字段实现“身份标识”的功能。

例子：

        输入csdn网站，此时默认是登录状态。是因为cookie中存储了这个登录的用户标识信息。

现在F12，我们将cookie中的信息手动清除掉。在“应用”下的cookie。

此时再打开csdn网页，发现登录状态已经失效。

🍅cookie的过程

        当服务器给客户端写了一个cookie标识之后，服务器告诉浏览器将cookie标识存起来，并且每一次再去访问这个域名的时候，浏览器会将该域名（csdn）下的所有的cookie全部放在请求头里传给服务器，此时服务器就从请求头里面获取cookie信息，获取到cookie信息之后就知道是否登录了。

        session默认在服务器的内存中，根据sessionid，在服务器中的session映射表中查找是否存在。

🌷6、HTTP响应

6.1 状态码

🍅1、理解重定向：

比如去十字街吃饭，但是发现店面搬迁，告诉你搬迁到哪里了，你就按照新地址走就行。也就是你去原来的地方，但是发现原来的地方没有人了，但是它告诉你往哪里走，这就是重定向。

或者相当于手机号码中的 "呼叫转移" 功能。
比如我本来的手机号是 186-1234-5678, 后来换了个新号码 135-1234-5678, 那么不需要让我的朋友知道新号码，只要我去办理一个呼叫转移业务, 其他人拨打 186-1234-5678 , 就会自动转移到 135-1234-5678上。

🍅2、知道常见的状态码

（1）200：表示访问成功；

（2）404：未知的错误：客户端将网址输错了；

（3）403：没有权限访问；

（4）500：服务器内部出错；

（5）504：网关出问题了。当服务器负载比较大的时候, 服务器处理单条请求的时候消耗的时间就会很长, 就可能会导致出现超时的情况。这种情况在双十一等 "秒杀" 场景中容易出现, 平时不太容易见到。

（6）302与301的区别

302是临时重定向：在登陆页面中经常会见到 302，用于实现登陆成功后自动跳转到主页。
301是永久重定向：当浏览器收到这种响应之后，后续的请求都会被改成新的地址；

301对于搜索引擎来说，权重比较高。

比如：去吃饭，301就相当于是临时搬迁，只是说着一段时间搬迁到新地址了，那么用户在去的时候要考虑是去新地址还是已经搬回来了，在原来的地址；而302是永久搬迁，以后去的都是新地址。

6.2 响应报头

响应报头的基本格式和请求报头的格式基本一致。
类似于 Content-Type , Content-Length 等属性的含义也和请求中的含义一致。

二、HTTPS

🌷1、HTTPS是什么？

HTTPS（Hyper Text Transfer Protocol Secure）也是一个应用层协议，是在 HTTP 协议的基础上引入了一个加密层。HTTP的默认端口号为80；HTTPS的默认端口号为443。

HTTPS = HTTP+加密+认证+完整性保护

原因：

HTTP 协议内容都是按照文本的方式明文传输的，这就导致在传输过程中出现一些被篡改的情况。这就是“运营商劫持”问题。

举例：

（1）下载一个天天动听，正常情况应该是：点击下载按钮，弹出其下载链接。

（2）被劫持的情况：点击下载按钮，弹出其他app（比如：qq浏览器的下载链接）。

上述现象分析：

由于我们通过网络传输的任何数据包都会经过运营商的网络设备（路由器，交换机等），那么运营商的网络设备就可以解析出你传输的数据内容并进行篡改。在点击“下载按钮”之后，其实是给服务器发送了一个HTTP请求，获取到的HTTP响应就包含了该app的下载链接，当运营商劫持之后，发现这个链接是要下载“天天动听”，就自动的把交给用户的响应篡改为“qq浏览器”的下载地址。

🌷2、HTTPS的执行过程（重点）

需要知道几个基本概念：常见的加密形式

🍅HTTPS 执行流程如下：

（1）客户端使用HTTPS来访问服务器端；

（2）服务器端返回数字证书，以及使用非对称加密的公钥给客户端，私钥服务器端自己保留；

（3）客户端验证传过来的数字证书是否有效：如果是无效证书，则说明不是服务器端，直接终止访问；如果是有效的，则进行以下几个步骤：

客户端使用对称加密来生成一个共享秘钥；
使用对称加密的共享秘钥来加密一些初始数据；
使用非对称加密的公钥来加密（对称加密生成的）共享秘钥；
发送加密后的秘钥和数据给服务器端。

（4）服务器端可以使用私钥来解密出客户端（使用对称秘钥生成的）共享秘钥，再使用共享秘钥解密出数据的具体内容；

（5）之后客户端与服务器端就可以使用共享秘钥加密的内容进行交互了。