HTTP协议组成总结.docx

HTTP协议----超文本传送协议 2012-12-8 HTTP（超文本传输协议）是一个基于请求与响应模式的、无状态的、应用层的协议。 关键词 1.连接(Connection)：一个传输层的实际环流，它是建立在两个相互通讯的应用程序之间。  2.消息(Message)：HTTP通讯的基本单位，包括一个结构化的八元组序列并通过连接传输。 3.请求(Request)：一个从客户端到服务器的请求信息包括应用于资源的方法、资源的标识符和协议的版本号。 4.响应(Response)：一个从服务器返回的信息包括HTTP协议的版本号、请求的状态(例如“成功”或“没找到”)和文档的MIME类型。 5.资源(Resource)：由URI标识的网络数据对象或服务。 6.实体(Entity)：数据资源或来自服务资源的回映的一种特殊表示方法，它可能被包围在一个请求或响应信息中。一个实体包括实体头信息和实体的本身内容。 7.客户机(Client)：一个为发送请求目的而建立连接的应用程序。 8.用户代理(User agent)：初始化一个请求的客户机。它们是浏览器、编辑器或其它用户工具。 9.服务器(Server)：一个接受连接并对请求返回信息的应用程序。 10.源服务器(Origin server)：是一个给定资源可以在其上驻留或被创建的服务器。 11.代理(Proxy)：一个中间程序，它可以充当一个服务器，也可以充当一个客户机，为其它客户机建立请求。请求是通过可能的翻译在内部或经过传递到其它的服务器中。一个代理在发送请求信息之前，必须解释并且如果可能重写它。 　　代理经常作为通过防火墙的客户机端的门户，代理还可以作为一个帮助应用来通过协议处理没有被用户代理完成的请求。 12.网关(Gateway)：一个作为其它服务器中间媒介的服务器。与代理不同的是，网关接受请求就好象对被请求的资源来说它就是源服务器；发出请求的客户机并没有意识到它在同网关打交道。 　　网关经常作为通过防火墙的服务器端的门户，网关还可以作为一个协议翻译器以便存取那些存储在非HTTP系统中的资源。 13.通道(Tunnel)：是作为两个连接中继的中介程序。一旦激活，通道便被认为不属于HTTP通讯，尽管通道可能是被一个HTTP请求初始化的。当被中继的连接两端关闭时，通道便消失。当一个门户(Portal)必须存在或中介(Intermediary)不能解释中继的通讯时通道被经常使用。 14.缓存(Cache)：反应信息的局域存储。 HTTP协议URL HTTP URL的格式为：http://host[":"port][abs_path] http表示要通过HTTP协议来定位网络资源； host表示合法的Internet主机域名或者IP地址； port指定一个端口号，为空则使用缺省端口80； abs_path指定请求资源的URI（绝对路径）； 如果URL中没有给abs_path，那么当它作为请求URI时，须以“/”的形式给出，通常这个工作浏览器自动完成。 HTTP协议请求（request） HTTP 请求（request）由三部分组成，分别是：请求行、消息报头、请求正文。 请求消息格式 请求行 通用信息头|请求头|实体头 CRLF(回车换行) 实体内容 注解： 头信息又称为元信息，即信息的信息，利用元信息可以实现有条件的请求或应答 。 请求头——告诉服务器怎样解释本次请求，主要包括用户可以接受的数据类型、压缩方法和语言等。 实体头——实体信息类型、长度、压缩方法、最后一次修改时间、数据有效期等。 实体——请求或应答对象本身。 请求行 请求行以一个方法符号开头，以空格分开，后面跟着请求的URI和协议的版本。 格式如下：Method Request-URI HTTP-Version CRLF（即：方法+[空格]+请求URI+[空格]+版本号+[回车换行]） 例：GET/index.html HTTP/1.1 POST http://10.5.6.240:8080/index.jsp HTTP/1.1 其中： Method表示请求方法； Request-URI是一个统一资源标识符； HTTP-Version表示请求的HTTP 协议版本； CRLF表示回车和换行（除了作为结尾的CRLF外，不允许出现单独的CR或LF字符）。 请求方法 请求方法（所有方法全为大写）有多种，各个方法的解释如下： GET GET请求获取Request-URI所标识的资源，向特定的资源发出请求（注意：GET方法不应当被用于产生“副作用”的操作中，例如在WebApp中。其中一个原因是GET可能会被网络蜘蛛等随意访问。）。 POST POST在Request-URI所标识的资源后附加新的数据，向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 HEAD HEAD请求获取由Request-URI所标识的资源的响应消息报头，向服务器索要与GET请求相一致的响应，只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下，就可以获取包含在响应消息头中的元信息。　 PUT PUT请求服务器存储一个资源，并用Request-URI作为其标识，向指定资源位置上传其最新内容。 DELETE DELETE请求服务器删除Request-URI所标识的资源。 TRACE TRACE请求服务器回送收到的请求信息，主要用于测试或诊断，回显服务器收到的请求，主要用于测试或诊断。　 CONNECT CONNECT保留将来使用，TTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 OPTIONS OPTIONS请求查询服务器的性能，或者查询与资源相关的选项和需求，返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。 GET方法：在浏览器的地址栏中输入网址的方式访问网页时，浏览器采用GET方法向服务器获取资。 POST方法要求被请求服务器接受附在请求后面的数据，常用于提交表单。 HEAD方法与GET方法几乎是一样的，对于HEAD请求的回应部分来说，它的HTTP头部中包含的信息与通过GET请求所得到的信息是相同的。利用这个方法，不必传输整个资源内容，就可以得到Request-URI所标识的资源的信息。该方法常用于测试超链接的有效性，是否可以访问，以及最近是否更新。 GET方法通常没有消息主体，支持最大1024个字节的查询字符串，POST方法没有限制。POST方法把查询字符串放在消息主体中传输，因此比GET方法支持更多的数据类型。 方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候，服务器应当返回状态码405（Method Not Allowed）；当服务器不认识或者不支持对应的请求方法的时候，应当返回状态码501（Not Implemented）。　 HTTP服务器至少应该实现GET和HEAD方法，其他方法都是可选的。当然，所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外，除了上述方法，特定的HTTP服务器还能够扩展自定义的方法。 请求报头 请求报头允许客户端向服务器端传递请求的附加信息以及客户端自身的信息。 常用的请求报头: Host Host请求报头域主要用于指定被请求资源的Internet主机和端口号，它通常从HTTP URL中提取出来的（发送请求时，该报头域是必需的，否则系统会以400状态码返回。）。 例：我们在浏览器中输入：http://10.3.4.240/index.html浏览器发送的请求消息中，就会包含Host请求报头域，如下：Host：10.3.4.240此处使用缺省端口号80，若指定了端口号8088，则变成：Host：10.3.4.240: 8088 Accept Accept请求报头域用于指定客户端接受哪些类型的信息. 例：Accept：image/gif，表明客户端希望接受GIF图象格式的资源； Accept：text/html表明客户端希望接受html文本。 Accept-Charset Accept-Charset请求报头域用于指定客户端接受的字符集。 例：Accept-Charset:iso-8859-1,gb2312. 如果在请求消息中没有设置这个域，缺省是任何字符集都可以接受。 Accept-Encoding Accept-Encoding请求报头域类似于Accept但是它是用于指定可接受的内容编码。 例：Accept-Encoding:gzip.deflate. 如果请求消息中没有设置这个域服务器假定客户端对各种内容编码都可以接受。 Accept-Language Accept-Language请求报头域类似于Accept，但是它是用于指定一种自然语言。 例：Accept-Language:zh-cn. 如果请求消息中没有设置这个报头域 ， 服务器假定客户端对各种语言都可以接受。 Authorization Authorization 请求报头域主要用于证明客户端有权查看某个资源。当浏览器访问一个页面时，如果收到服务器的响应代码为401（未授权），可以发送一个包含Authorization请求报头域的请求，要求服务器对其进行验证。 User-Agent 我们上网登陆论坛的时候，往往会看到一些欢迎信息，其中列出了你的操作系统的名称和版本，你所使用的浏览器的名称和版本，实际上服务器应用程序就是从User-Agent这个请求报头域中获取到这些信息 。User-Agent请求报头域允许客户端将它的操作系统、浏览器和其它属性告诉服务器。不过，这个报头域不是必需的，如果我们自己编写一个浏览器，不使用 User-Agent请求报头域，那么服务器端就无法得知我们的信息了。 Cookie Cookie：最重要的header, 将cookie的值发送给HTTP 服务器 Referer Referer头域允许客户端指定请求uri的源资源地址，这可以允许服务器生成回退链表，可用来登陆、优化cache等。它也允许废除的或错误的连接由于维护的目的被追踪。如果请求的uri没有自己的uri地址，Referer不能被发送。如果指定的是部分uri地址，则此地址应该是一个相对地址。 作用： 提供了Request的上下文信息的服务器，告诉服务器我是从哪个链接过来的，比如从我主页上链接到一个朋友那里，他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。 例如: Referer: Range Range头域可以请求实体的一个或者多个子范围。 例如： 　　表示头500个字节：bytes=0-499 　　表示第二个500字节：bytes=500-999 　　表示最后500个字节：bytes=-500 　　表示500字节以后的范围：bytes=500- 　　第一个和最后一个字节：bytes=0-0,-1 　　同时指定几个范围：bytes=500-600,601-999 但是服务器可以忽略此请求头，如果无条件GET包含Range请求头，响应会以状态码206（PartialContent）返回而不是以200（OK）。 If-Modified-Since If-Modified-Since是标准的HTTP请求头标签，在发送HTTP请求时，把浏览器端缓存页面的最后修改时间一起发到服务器去，服务器会把这个时间与服务器上实际文件的最后修改时间进行比较。如果时间一致，那么返回HTTP状态码304（不返回文件内容），客户端接到之后，就直接把本地缓存文件显示到浏览器中。如果时间不一致，就返回HTTP状态码200和新的文件内容，客户端接到之后，会丢弃旧文件，把新文件缓存起来，并显示到浏览器中。 ETags和If-None-Match是一种常用的判断资源是否改变的方法。类似于Last-Modified和HTTP-IF-MODIFIED-SINCE。但是有所不同的是Last-Modified和HTTP-IF-MODIFIED-SINCE只判断资源的最后修改时间，而ETags和If-None-Match可以是资源任何的任何属性。 ETags和If-None-Match的工作原理是在HTTP Response中添加ETags信息。当客户端再次请求该资源时，将在HTTP Request中加入If-None-Match信息（ETags的值）。如果服务器验证资源的ETags没有改变（该资源没有改变），将返回一个304状态；否则，服务器将返回200状态，并返回该资源和新的ETags。 请求消息举例 GET /form.html HTTP/1.1 (CRLF) Host: (CRLF) Connection:Keep-Alive (CRLF) Accept:image/gif,image/x-xbitmap,image/jpeg,application/x-shockwave-flash,application/vnd.ms-excel,application/vnd.ms-powerpoint,application/msword,*/* (CRLF) User-Agent:Mozilla/4.0(compatible;MSIE6.0;Windows NT 5.0) (CRLF) Accept-Encoding:gzip,deflate (CRLF) Accept-Language:zh-cn (CRLF) Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3(CRLF) If-Modified-Since:Wed,05 Jan 2007 11:21:25 GMT (CRLF) If-None-Match:W/"80b1a4c018f3c41:8317" (CRLF) Cookie: JSESSIONID=17CF87FA2178C4EC670E92A11CC18F48.tomcat243 HTTP协议响应（response） 在接收和解释请求消息后，服务器返回一个 HTTP 响应消息。 HTTP 响应也是由三个部分组成，分别是：状态行、消息报头、响应正文。 响应消息格式 状态行 通用信息头|响应头|实体头 CRLF 实体内容 状态行 状态行格式如下： HTTP-Version Status-Code Reason-Phrase CRLF（即：版本号+[空格]+状态码+[空格]+原因+[回车换行]） 例：HTTP/1.0 200 OK HTTP/1.1 400 Bad Request 其中： HTTP-Version 表示服务器 HTTP 协议的版本； Status-Code 表示服务器发回的响应状态代码； Reason-Phrase 表示状态代码的文本描述。 状态代码： 状态代码有三位数字组成，第一个数字定义了响应的类别，且有五种可能取值： 1xx ：指示信息--表示请求已接收，继续处理 2xx ：成功--表示请求已被成功接收、理解、接受 3xx ：重定向--要完成请求必须进行更进一步的操作 4xx ：客户端错误--请求有语法错误或请求无法实现 5xx ：服务器端错误--服务器未能实现合法的请求 常见状态代码、状态描述、说明： 200 OK：请求成功 400 Bad Request：客户端请求有语法错误，不能被服务器所理解； 401 Unauthorized：请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用； 403 Forbidden：服务器收到请求，但是拒绝提供服务； 404 Not Found：请求资源不存在（eg ：输入了错误的 URL）； 500 Internal Server Error：服务器发生不可预期的错误； 503 Server Unavailable：服务器当前不能处理客户端的请求，一段时间后，可能恢复正常。 响应报头 响应报头允许服务器传递不能放在状态行中的附加响应信息，以及关于服务器的信息和对Request-URI 所标识的资源进行下一步访问的信息。 常用的响应报头: Location Location响应报头域用于重定向接受者到一个新的位置。Location响应报头域常用在更换域名的时候。 Server Server响应报头域包含了服务器用来处理请求的软件信息。与User-Agent请求报头域是相对应的。指明HTTP服务器的软件信息。 例：Server：Apache-Coyote/1.1 X-AspNet-Version 作用：如果网站是用ASP.NET开发的，这个header用来表示ASP.NET的版本。 例如: X-AspNet-Version: 4.0.30319 X-Powered-By 作用：表示网站是用什么技术开发的 例如： X-Powered-By: ASP.NET WWW-Authenticate WWW-Authenticate响应报头域必须被包含在401（未授权的）响应消息中，客户端收到401响应消息时候 ，并发送Authorization报头域请求服务器对其进行验证时，服务端响应报头就包含该报头域。 例：WWW-Authenticate:Basic realm="Basic Auth Test!" ：可以看出服务器对请求资源采用的是基本验证机制。 P3P P3P作用: 用于跨域设置Cookie, 这样可以解决iframe跨域访问cookie的问题。 例如: P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR Set-Cookie Set-Cookie作用：非常重要的header, 用于把cookie 发送到客户端浏览器，每一个写入cookie都会生成一个Set-Cookie. 例如:Set-Cookie:sc=4c31523a;path=/;domain= 响应消息举例 HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Set-Cookie:JSESSIONID=17CF87FA2178C4EC670E92A11CC18F48.tomcat243; Path=/seeyon Last-Modified: Wed, 17 Oct 2007 03:01:41 GMT Content-Type: text/html;charset=UTF-8 Content-Language: zh-CN Transfer-Encoding: chunked Content-Encoding: gzip Vary: Accept-Encoding Date: Fri, 30 Nov 2012 03:52:19 GMT HTTP消息报头 HTTP 消息由客户端到服务器的请求和服务器到客户端的响应组成。请求消息和响应消息都是由开始行（对于请求消息，开始行就是请求行，对于响应消息，开始行就是状态行），消息报头（可选），空行（只有CRLF的行），消息正文（可选）组成。 HTTP 消息报头包括:普通报头、请求报头、响应报头、实体报头。 每一个报头域都是由名字+“：”+空格+值组成，消息报头域的名字是大小写无关的。 普通报头 在普通报头中,有少数报头域用于所有的请求和响应消息，但并不用于被传输的实体，只用于传输的消息。 Cache-Control Cache-Control用于指定缓存指令，缓存指令是单向的（响应中出现的缓存指令在请求中未必会出现），且是独立的（一个消息的缓存指令不会影响另一个消息处理的缓存机制），HTTP1.0使用的类似的报头域为Pragma。Pragma作用：防止页面被缓存，在HTTP/1.1版本中，它和Cache-Control:no-cache作用一样，且Pargma只有这一个用法。如：Pragema:no-cache。 注：在HTTP/1.0版本中，只实现了Pragema:no-cache, 没有实现Cache-Control. 请求时的缓存指令包括：no-cache（用于指示请求或响应消息不能缓存）、no-store、max-age、max-stale、min-fresh、only-if-cached; 响应时的缓存指令包括：public（可以被任何缓存所缓存）、private（内容只缓存到私有缓存中）、no-cache（所有内容都不会被缓存）、no-store、no-transform、must-revalidate、proxy-revalidate、max-age、s-maxage. Date Date普通报头域表示消息产生的日期和时间。 Connection Connection普通报头域允许发送指定连接的选项。 例如：Connection: keep-alive 当一个网页打开完成后，客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接 例如：Connection: close 代表一个Request完成后，客户端和服务器之间用于传输HTTP数据的TCP连接会关闭，当客户端再次发送Request，需要重新建立TCP连接。 实体报头 请求和响应消息都可以传送一个实体。一个实体由实体报头域和实体正文组成，但并不是说实体报头域和实体正文要在一起发送，可以只发送实体报头域。实体报头定义了关于实体正文（例：有无实体正文）和请求所标识的资源的元信息。 常用的实体报头： Content-Encoding Content-Encoding实体报头域被用作媒体类型的修饰符，它的值指示了已经被应用到实体正文的附加内容的编码，因而要获得Content-Type报头域中所引用的媒体类型，必须采用相应的解码机制。Content-Encoding这样用于记录文档的压缩方法。WEB服务器表明自己使用了什么压缩方法（gzip，deflate）压缩响应中的对象。 例：Content-Encoding：gzip Content-Language Content-Language实体报头域描述了资源所用的自然语言，即WEB服务器告诉浏览器自己响应的对象的语言阅读者。没有设置该域则认为实体内容将提供给所有的语言阅读者。 例：Content-Language:da Content-Length Content-Length实体报头域用于指明实体正文的长度，以字节方式存储的十进制数字来表示。 Content-Type Content-Type实体报头域用语指明发送给接收者的实体正文的媒体类型。 例：Content-Type:text/html;charset=ISO-8859-1 Content-Type:text/html;charset=GB2312 Last-Modified Last-Modified实体报头域用于指示资源的最后修改日期和时间。 ETag ETag作用: 和If-None-Match 配合使用。 例如: ETag: "03f2b33c0bfcc1:0" Expires Expires实体报头域给出响应过期的日期和时间。为了让代理服务器或浏览器在一段时间以后更新缓存中（再次访问曾访问过的页面时，直接从缓存中加载，缩短响应时间和降低服务器负载）的页面，我们可以使用Expires实体报头域指定页面过期的时间。 例：Expires：Thu，15 Sep 2006 16:23:12GMT 注：HTTP1.1的客户端和缓存必须将其他非法的日期格式（包括0）看作已经过期。 HTTP协议是无状态的和Connection: keep-alive的区别 　　无状态是指协议对于事务处理没有记忆能力，服务器不知道客户端是什么状态。从另一方面讲，打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。 　　HTTP是一个无状态的面向连接的协议，无状态不代表HTTP不能保持TCP连接，更不能代表HTTP使用的是UDP协议（无连接）。 　　从HTTP/1.1起，默认都开启了Keep-Alive，保持连接特性，简单地说，当一个网页打开完成后，客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接。 　　Keep-Alive不会永久保持连接，它有一个保持时间，可以在不同的服务器软件（如Apache）中设定这个时间。