一、HTTP协议概念
1.1 什么是HTTP协议
HTTP协议:浏览器客户端跟服务器端的数据传输格式的规范
2.1 HTTP协议的内容
1.请求(浏览器-》服务器)
GET /day09/hello HTTP/1.1 //请求行(请求的方式和HTTP版本)
Host: localhost:8080 //请求头(ip和端口)
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0 // 浏览器版本
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 //支持的格式
Accept-Language: zh-cn,en-us;q=0.8,zh;q=0.5,en;q=0.3 //支持的文字编码
Accept-Encoding: gzip, deflate
Connection: keep-alive
//一个空行
name=eric&password=123456 //实体内容
2.1.1 请求行
HTTP版本:
http1.0:当前浏览器客户端与服务器端建立连接之后,只能发送一次请求,一次请求之后连接关闭。
http1.1:当前浏览器客户端与服务器端建立连接之后,可以在一次连接中发送多次请求。(基本都使用1.1)
请求方式:
基本的请求方式:GET、 POST、 HEAD、 TRACE、 PUT、 CONNECT 、DELETE
常用的请求:POST、GET(常用于表提交)
<form action="提交地址" method="post/get"></form>
POST和GET请求的区别:
1. GET方式提交:
(1) 地址栏(url)会跟上参数数据,以?开头,多个参数之间以&分割。
(2) GET提交参数数据有限制,不超过1kb。
(3) GET方式不适合提交敏感密码<密码,用户名之类的>。
2.POST方式提交:
(1) 参数不会跟着url后面,而是跟在请求的实体内容中。没有?开头,多个参数之间以&分割。
(2) POST提交的数据没有限制。
(3) POST提交的数据不会暴露,适合提交敏感数据。
2.1.2 请求头
Accept: text/html,image/* --浏览器接受的数据类型
Accept-Charset: ISO-8859-1 --浏览器接受的编码格式
Accept-Encoding: gzip,compress --浏览器接受的数据压缩格式
Accept-Language: en-us,zh- --浏览器接受的语言
Host: www.it315.org:80 --(必须的)当前请求访问的目标地址(主机:端口)
If-Modified-Since: Tue, 11 Jul 2000 18:23:51GMT --浏览器最后的缓存时间
Referer:http://www.it315.org/index.jsp --当前请求来自于哪里
User-Agent: Mozilla/4.0 (compatible; MSIE5.5; Windows NT 5.0) --浏览器类型
Cookie:name=eric --浏览器保存的cookie信息
Connection: close/Keep-Alive --浏览器跟服务器连接状态。close: 连接关闭 keep-alive:保存连接。
Date:Tue, 11 Jul 2000 18:23:51 GMT --请求发出的时间
2.1.2 实体内容
只有POST请求会把数据放到实体内容中。
2.1.3 HttpServletRequest对象
HttpServletRequest对象作用是用于获取请求数据。
请求行:
request.getMethod(); 请求方式
request.getRequetURI() 请求资源
request.getProtocol() 请求http协议版本
请求头:
request.getHeader("名称") 根据请求头获取请求值
request.getHeaderNames() 获取所有的请求头名称
实体内容: request.getInputStream() 获取实体内容数据
2.2 什么是时间戳
概念:很多网站在发布版本之前,都会在URL请求地址后面加上一个实现戳进行版本更新(为了防止缓存)
2.3 防止非法链接(referer)
概念:防别的网站直接引用本站的资源(图片等),引用多了增大服务器压力。
预防:判断referer来源,若请求不是本ip或者绑定的域名,就跳转到警告页面。
非法链接:
1)直接访问访问资源
referer:当前请求来自于哪里。
代码:
<filter>
<filter-name>ImgFilter</filter-name>
<filter-class>com.itmayiedu.filter.ImgFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>ImgFilter</filter-name>
<url-pattern>/static/*</url-pattern>
</filter-mapping>
public class ImgFilter implements Filter {
public void destroy() {
// TODO Auto-generated method stub
}
publicvoid doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChainfilterChain)
throws IOException, ServletException {
HttpServletRequestrequest = (HttpServletRequest) servletRequest;
HttpServletResponseresponse = (HttpServletResponse) servletResponse;
Stringreferer = request.getHeader("referer");
System.out.println("refer is" + "" + referer);
if (referer == null || !referer.contains(request.getServerName())) {
request.getRequestDispatcher("/static/error.png").forward(request, response);
}else {
filterChain.doFilter(request, response);
}
}
publicvoid init(FilterConfig arg0) throws ServletException {
// TODO Auto-generated method stub
}
}
2.3 传递的请求参数如何获取
GET方式:参数放在URI后面
POST方式:参数放在实体内容中
获取GET方式参数:request.getQueryString();
获取POST方式参数:request.getInputStream();
但是以上两种不通用,而且获取到的参数还需要进一步地解析。 所以可以使用统一方便的获取参数的方式:
核心的API:
request.getParameter("参数名"); 根据参数名获取参数值(注意,只能获取一个值的参数)
request.getParameterValue("参数名“);根据参数名获取参数值(可以获取多个值的参数)
request.getParameterNames(); 获取所有参数名称列表
3.1 HTTP响应
HTTP/1.1 200 OK --响应行
Server: Apache-Coyote/1.1 --响应头(key-vaule)
Content-Length: 24
Date: Fri, 30 Jan 2015 01:54:57 GMT
--一个空行
this is hello servlet --实体内容
3.1.1 响应行
http协议版本
状态码: 服务器处理请求的结果(状态)
常见的状态:
200:表示请求处理完成并完美返回
302:表示请求需要进一步细化。
404 : 表示客户访问的资源找不到。
500:表示服务器的资源发送错误。(服务器内部错误)
状态描述
3.1.2 常见的响应头
Location:
http://www.it315.org/index.jsp --表示重定向的地址,该头和302的状态码一起使用。
Server:apache tomcat --表示服务器的类型
Content-Encoding: gzip --表示服务器发送给浏览器的数据压缩类型
Content-Length: 80 --表示服务器发送给浏览器的数据长度
Content-Language: zh-cn --表示服务器支持的语言
Content-Type: text/html; charset=GB2312 --表示服务器发送给浏览器的数据类型及内容编码
Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT --表示服务器资源的最后修改时间
Refresh:1;url=http://www.it315.org --表示定时刷新
Content-Disposition: attachment;filename=aaa.zip --表示告诉浏览器以下载方式打开资源(下载文件时用到)
Transfer-Encoding: chunked
Set-Cookie:SS=Q0=5Lb_nQ; path=/search --表示服务器发送给浏览器的cookie信息(会话管理用到)
Expires: -1 --表示通知浏览器不进行缓存
Cache-Control: no-cache
Pragma: no-cache
Connection: close/Keep-Alive --表示服务器和浏览器的连接状态。close:关闭连接 keep-alive:保存连接
3.1.3 HttpServletResponse对象
HttpServletResponse对象修改响应信息:
响应行:response.setStatus() 设置状态码
响应头: response.setHeader("name","value") 设置响应头
实体内容:response.getWriter().writer(); 发送字符实体内容
response.getOutputStream().writer() 发送字节实体内容
3.1.4 请求重定向(本服务器)
resp.setStatus(302);
resp.setHeader("Location", "OtherServlet");//重定向到别的服务器
4.1Https与Http
4.1.1 https与http区别?
1、https 协议需要到 ca 申请证书,一般免费证书较少,因而需要一定费用。
2、http 是超文本传输协议,信息是明文传输,https则是具有安全性的ssl 加密传输协议。
3、http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是 443。
4、http 的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比http 协议安全。
4.1.2 https工作原理?
我们都知道HTTPS 能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS 协议。客户端在使用HTTPS 方式与Web 服务器通信时有以下几个步骤,如图所示。(1)客户使用 https 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。
(2)Web 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web 服务器利用自己的私钥解密出会话密钥。
(6)Web 服务器利用会话密钥加密与客户端之间的通信。
4.1.3 https优缺点?
虽然说HTTPS 有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近50%,增加 10% 到 20% 的耗电;
(2)HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
(5)HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA 根证书的情况下,中间人攻击一样可行。
5.1 跨域实战解决方案
跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
报错信息:XMLHttpRequest cannot load
5.1.1 使用后台response添加header解决
后台response添加header,response.setHeader("Access-Control-Allow-Origin","*");支持所有网站
前端代码:
$.ajax({
type :"POST",
async :false,
url :"http://a.a.com/a/FromUserServlet?userName=张三",
dataType :"jsonp",//数据类型为jsonp
jsonp :"jsonpCallback",//服务端用于接收callback调用的function名的参数
success :function(data) {
alert(data.result);
},
error :function() {
alert('fail');
}
});
后端代码:
@WebServlet("/FromUserServlet")
publicclassFromUserServletextends HttpServlet {
@Override
protectedvoid doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
doPost(req, resp);
}
@Override
protectedvoid doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
resp.setCharacterEncoding("UTF-8");
//
resp.setHeader("Access-Control-Allow-Origin", "*");
StringuserName = req.getParameter("userName");
StringuserAge = req.getParameter("userAge");
System.out.println(userName + "----" + userAge+"---"+req.getMethod());
// JSONObject
JSONObject1 = new JSONObject();
//
JSONObject1.put("success", "添加成功!");
// resp.getWriter().write("callbackparam(" + JSONObject1.toJSONString()
// + ")");
try {
resp.setContentType("text/plain");
resp.setHeader("Pragma", "No-cache");
resp.setHeader("Cache-Control", "no-cache");
resp.setDateHeader("Expires", 0);
PrintWriterout = resp.getWriter();
JSONObjectresultJSON = new JSONObject(); // 根据需要拼装json
resultJSON.put("result", "content");
StringjsonpCallback = req.getParameter("jsonpCallback");// 客户端请求参数
out.println(jsonpCallback + "(" + resultJSON.toJSONString() + ")");// 返回jsonp格式数据
out.flush();
out.close();
}catch (Exception e) {
// TODO: handle exception
}
}
}
JSONP的优缺点:
JSONP只支持get请求不支持psot请求
5.1.2 使用接口网关
5.1.3 使用nginx转发
http 常用的状态码
200 表示成功
301 Moved Permanently 永久重定向。http 转向 https时,有时会使用 301,如B站. 请求的 URL已移走。Response 中应该包含一个 Location URL, 说明资源现在所处的位置
302 暂时重定向。http 转向 https时,有时也会使用 302,如知乎
400 Bad Request 客户端请求有语法错误,不能被服务器所理解
401 Unauthorized 当没有权限的用户请求需要带有权限的资源时,会返回 401,此时携带正确的权限凭证再试一次可以解决问题
403 Forbidden 服务器收到请求,但是拒绝提供服务
404 Not Found 请求资源不存在,eg:输入了错误的 URL
500 Internal Server Error 服务器内部错误,很有可能是应用层未捕获错误而导致整个服务挂掉
503 Server Unavailable 服务器当前不能处理客户端的请求,一段时间后可能恢复正常
