HTTP协议详解[转]

当今web程序的开发技术真是百家争鸣，ASP.NET, PHP, JSP，Perl, AJAX 等等。 无论Web技术在未来如何发展，理解Web程序之间通信的基本协议相当重要, 因为它让我们理解了Web应用程序的内部工作. 本文将对HTTP协议进行详细的实例讲解，内容较多，希望大家耐心看。也希望对大家的开发工作或者测试工作有所帮助。使用Fiddler工具非常方便地捕获HTTP Request和HTTP Response,  关于Fiddler工具的用法，请看我另一篇博客[Fiddler 教程]

 

阅读目录

1. 什么是HTTP协议
2. Web服务器，浏览器,代理服务器
3. URL详解
4. HTTP协议是无状态的
5. 打开一个网页需要浏览器发送很多次Request
6. HTTP消息的结构
7. Get和Post方法的区别
8. 状态码
9. HTTP Request header
10. HTTP Response header
11. HTTP协议是无状态的和Connection: keep-alive的区别

什么是HTTP协议

协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则，超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器

 

目前我们使用的是HTTP/1.1 版本

Web服务器，浏览器,代理服务器

当我们打开浏览器，在地址栏中输入URL，然后我们就看到了网页。 原理是怎样的呢？

实际上我们输入URL后，我们的浏览器给Web服务器发送了一个Request, Web服务器接到Request后进行处理，生成相应的Response，然后发送给浏览器， 浏览器解析Response中的HTML,这样我们就看到了网页，过程如下图所示

 

 

 

我们的Request 有可能是经过了代理服务器，最后才到达Web服务器的。

过程如下图所示

 

代理服务器就是网络信息的中转站，有什么功能呢？

1. 提高访问速度， 大多数的代理服务器都有缓存功能。

2. 突破限制， 也就是FQ了

3. 隐藏身份。

 

URL详解

 URL(Uniform Resource Locator) 地址用于描述一个网络上的资源,  基本格式如下

schema://host[:port#]/path/.../[?query-string][#anchor]

scheme               指定低层使用的协议(例如：http, https, ftp)

host                   HTTP服务器的IP地址或者域名

port#                 HTTP服务器的默认端口是80，这种情况下端口号可以省略。如果使用了别的端口，必须指明，例如 http://www.cnblogs.com:8080/

path                   访问资源的路径

query-string       发送给http服务器的数据

anchor-             锚

 

URL 的一个例子

http://www.mywebsite.com/sj/test/test.aspx?name=sviergn&x=true#stuff

Schema:                 http
host:                   www.mywebsite.com
path:                   /sj/test/test.aspx
Query String:           name=sviergn&x=true
Anchor:                 stuff

 

HTTP协议是无状态的

http协议是无状态的，同一个客户端的这次请求和上次请求是没有对应关系，对http服务器来说，它并不知道这两个请求来自同一个客户端。 为了解决这个问题， Web程序引入了Cookie机制来维护状态.

 

打开一个网页需要浏览器发送很多次Request

1. 当你在浏览器输入URL http://www.cnblogs.com 的时候，浏览器发送一个Request去获取 http://www.cnblogs.com 的html.  服务器把Response发送回给浏览器.

2. 浏览器分析Response中的 HTML，发现其中引用了很多其他文件，比如图片，CSS文件，JS文件。

3. 浏览器会自动再次发送Request去获取图片，CSS文件，或者JS文件。

4. 等所有的文件都下载成功后。 网页就被显示出来了。

 

HTTP消息的结构

先看Request 消息的结构,   Request 消息分为3部分，第一部分叫Request line, 第二部分叫Request header, 第三部分是body. header和body之间有个空行， 结构如下图

第一行中的Method表示请求方法,比如"POST","GET",  Path-to-resoure表示请求的资源， Http/version-number 表示HTTP协议的版本号

当使用的是"GET" 方法的时候， body是为空的

比如我们打开博客园首页的request 如下

GET http://www.cnblogs.com/ HTTP/1.1
Host: www.cnblogs.com

抽象的东西，难以理解，老感觉是虚的， 所谓眼见为实, 实际见到的东西，我们才能理解和记忆。 我们今天用Fiddler，实际的看看Request和Response.

下面我们打开Fiddler 捕捉一个博客园登录的Request 然后分析下它的结构, 在Inspectors tab下以Raw的方式可以看到完整的Request的消息，   如下图

 

我们再看Response消息的结构, 和Request消息的结构基本一样。 同样也分为三部分,第一部分叫Response line, 第二部分叫Response header，第三部分是body. header和body之间也有个空行,  结构如下图

HTTP/version-number表示HTTP协议的版本号，  status-code 和message 请看下节[状态代码]的详细解释.

我们用Fiddler 捕捉一个博客园首页的Response然后分析下它的结构, 在Inspectors tab下以Raw的方式可以看到完整的Response的消息，   如下图

 

 

Get和Post方法的区别

Http协议定义了很多与服务器交互的方法，最基本的有4种，分别是GET,POST,PUT,DELETE. 一个URL地址用于描述一个网络上的资源，而HTTP中的GET, POST, PUT, DELETE就对应着对这个资源的查，改，增，删4个操作。 我们最常见的就是GET和POST了。GET一般用于获取/查询资源信息，而POST一般用于更新资源信息.

我们看看GET和POST的区别

1. GET提交的数据会放在URL之后，以?分割URL和传输数据，参数之间以&相连，如EditPosts.aspx?name=test1&id=123456.  POST方法是把提交的数据放在HTTP包的Body中.

2. GET提交的数据大小有限制（因为浏览器对URL的长度有限制），而POST方法提交的数据没有限制.

3. GET方式需要使用Request.QueryString来取得变量的值，而POST方式通过Request.Form来获取变量的值。

4. GET方式提交数据，会带来安全问题，比如一个登录页面，通过GET方式提交数据时，用户名和密码将出现在URL上，如果页面可以被缓存或者其他人可以访问这台机器，就可以从历史记录获得该用户的账号和密码.

 

状态码

Response 消息中的第一行叫做状态行，由HTTP协议版本号， 状态码， 状态消息 三部分组成。

状态码用来告诉HTTP客户端,HTTP服务器是否产生了预期的Response.

HTTP/1.1中定义了5类状态码， 状态码由三位数字组成，第一个数字定义了响应的类别

1XX  提示信息 - 表示请求已被成功接收，继续处理

2XX  成功 - 表示请求已被成功接收，理解，接受

3XX  重定向 - 要完成请求必须进行更进一步的处理

4XX  客户端错误 -  请求有语法错误或请求无法实现

5XX  服务器端错误 -   服务器未能实现合法的请求

 

看看一些常见的状态码

200 OK

最常见的就是成功响应状态码200了， 这表明该请求被成功地完成，所请求的资源发送回客户端

如下图， 打开博客园首页

 

302 Found

重定向，新的URL会在response 中的Location中返回，浏览器将会自动使用新的URL发出新的Request

例如在IE中输入， http://www.google.com. HTTP服务器会返回302， IE取到Response中Location header的新URL, 又重新发送了一个Request.

 

304 Not Modified

代表上次的文档已经被缓存了， 还可以继续使用，

例如打开博客园首页, 发现很多Response 的status code 都是304

提示：　如果你不想使用本地缓存可以用Ctrl+F5 强制刷新页面

 

400 Bad Request  客户端请求与语法错误，不能被服务器所理解

403 Forbidden 服务器收到请求，但是拒绝提供服务

404 Not Found

请求资源不存在（输错了URL）

比如在IE中输入一个错误的URL， http://www.cnblogs.com/tesdf.aspx

 

500 Internal Server Error 服务器发生了不可预期的错误

503 Server Unavailable 服务器当前不能处理客户端的请求，一段时间后可能恢复正常

 

HTTP Request header

使用Fiddler 能很方便的查看Reques header, 点击Inspectors tab ->Request tab-> headers  如下图所示.

header 有很多，比较难以记忆，我们也按照Fiddler那样把header 进行分类，这样比较清晰也容易记忆。

Cache 头域

If-Modified-Since

作用： 把浏览器端缓存页面的最后修改时间发送到服务器去，服务器会把这个时间与服务器上实际文件的最后修改时间进行对比。如果时间一致，那么返回304，客户端就直接使用本地缓存文件。如果时间不一致，就会返回200和新的文件内容。客户端接到之后，会丢弃旧文件，把新文件缓存起来，并显示在浏览器中.

例如：If-Modified-Since: Thu, 09 Feb 2012 09:07:57 GMT

实例如下图

 

If-None-Match

作用: If-None-Match和ETag一起工作，工作原理是在HTTP Response中添加ETag信息。 当用户再次请求该资源时，将在HTTP Request 中加入If-None-Match信息(ETag的值)。如果服务器验证资源的ETag没有改变（该资源没有更新），将返回一个304状态告诉客户端使用本地缓存文件。否则将返回200状态和新的资源和Etag.  使用这样的机制将提高网站的性能

例如: If-None-Match: "03f2b33c0bfcc1:0"

实例如下图

 

Pragma

作用： 防止页面被缓存， 在HTTP/1.1版本中，它和Cache-Control:no-cache作用一模一样

Pargma只有一个用法， 例如： Pragma: no-cache

注意: 在HTTP/1.0版本中，只实现了Pragema:no-cache, 没有实现Cache-Control

 

Cache-Control

作用: 这个是非常重要的规则。 这个用来指定Response-Request遵循的缓存机制。各个指令含义如下

Cache-Control:Public   可以被任何缓存所缓存（）

Cache-Control:Private     内容只缓存到私有缓存中

Cache-Control:no-cache  所有内容都不会被缓存

还有其他的一些用法， 我没搞懂其中的意思， 请大家参考其他的资料

 

Client 头域

Accept

作用： 浏览器端可以接受的媒体类型,

例如：  Accept: text/html  代表浏览器可以接受服务器回发的类型为 text/html  也就是我们常说的html文档,

如果服务器无法返回text/html类型的数据,服务器应该返回一个406错误(non acceptable)

通配符 * 代表任意类型

例如  Accept: */*  代表浏览器可以处理所有类型,(一般浏览器发给服务器都是发这个)

 

Accept-Encoding：

作用： 浏览器申明自己接收的编码方法，通常指定压缩方法，是否支持压缩，支持什么压缩方法（gzip，deflate），（注意：这不是只字符编码）;

例如： Accept-Encoding: gzip, deflate

 

Accept-Language

作用： 浏览器申明自己接收的语言。 

语言跟字符集的区别：中文是语言，中文有多种字符集，比如big5，gb2312，gbk等等；

例如： Accept-Language: en-us

 

User-Agent

作用：告诉HTTP服务器， 客户端使用的操作系统和浏览器的名称和版本.

我们上网登陆论坛的时候，往往会看到一些欢迎信息，其中列出了你的操作系统的名称和版本，你所使用的浏览器的名称和版本，这往往让很多人感到很神奇，实际上，服务器应用程序就是从User-Agent这个请求报头域中获取到这些信息User-Agent请求报头域允许客户端将它的操作系统、浏览器和其它属性告诉服务器。

例如： User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; CIBA; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; InfoPath.2; .NET4.0E)

 

Accept-Charset

作用：浏览器申明自己接收的字符集，这就是本文前面介绍的各种字符集和字符编码，如gb2312，utf-8（通常我们说Charset包括了相应的字符编码方案）；

例如：

 

Cookie/Login 头域

Cookie:

作用： 最重要的header, 将cookie的值发送给HTTP 服务器

Entity头域

Content-Length

作用：发送给HTTP服务器数据的长度。

例如： Content-Length: 38

 

Content-Type

作用：

例如：Content-Type: application/x-www-form-urlencoded

 

Miscellaneous 头域

Referer:

作用： 提供了Request的上下文信息的服务器，告诉服务器我是从哪个链接过来的，比如从我主页上链接到一个朋友那里，他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。

例如: Referer:http://translate.google.cn/?hl=zh-cn&tab=wT

Transport 头域

Connection

例如：　Connection: keep-alive   当一个网页打开完成后，客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接

例如：  Connection: close  代表一个Request完成后，客户端和服务器之间用于传输HTTP数据的TCP连接会关闭， 当客户端再次发送Request，需要重新建立TCP连接。

 

Host（发送请求时，该报头域是必需的）

作用: 请求报头域主要用于指定被请求资源的Internet主机和端口号，它通常从HTTP URL中提取出来的

例如: 我们在浏览器中输入：http://www.guet.edu.cn/index.html

浏览器发送的请求消息中，就会包含Host请求报头域，如下：

Host：http://www.guet.edu.cn

此处使用缺省端口号80，若指定了端口号，则变成：Host：指定端口号

 

HTTP Response header

同样使用Fiddler 查看Response header, 点击Inspectors tab ->Response tab-> headers  如下图所示

 我们也按照Fiddler那样把header 进行分类，这样比较清晰也容易记忆。

Cache头域

Date

作用:  生成消息的具体时间和日期

例如：　Date: Sat, 11 Feb 2012 11:35:14 GMT 

 

Expires

作用: 浏览器会在指定过期时间内使用本地缓存

例如: Expires: Tue, 08 Feb 2022 11:35:14 GMT

 

Vary

作用：

例如: Vary: Accept-Encoding

 

Cookie/Login 头域

P3P

作用: 用于跨域设置Cookie, 这样可以解决iframe跨域访问cookie的问题

例如: P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR

 

Set-Cookie

作用： 非常重要的header, 用于把cookie 发送到客户端浏览器， 每一个写入cookie都会生成一个Set-Cookie.

例如: Set-Cookie: sc=4c31523a; path=/; domain=.acookie.taobao.com

 

Entity头域

ETag

作用:  和If-None-Match 配合使用。 （实例请看上节中If-None-Match的实例）

例如: ETag: "03f2b33c0bfcc1:0"

 

Last-Modified:

作用： 用于指示资源的最后修改日期和时间。（实例请看上节的If-Modified-Since的实例）

例如: Last-Modified: Wed, 21 Dec 2011 09:09:10 GMT

 

Content-Type

作用：WEB服务器告诉浏览器自己响应的对象的类型和字符集,

例如:

Content-Type: text/html; charset=utf-8

Content-Type:text/html;charset=GB2312

Content-Type: image/jpeg

 

Content-Length

指明实体正文的长度，以字节方式存储的十进制数字来表示。在数据下行的过程中，Content-Length的方式要预先在服务器中缓存所有数据，然后所有数据再一股脑儿地发给客户端。

例如: Content-Length: 19847

 

Content-Encoding

WEB服务器表明自己使用了什么压缩方法（gzip，deflate）压缩响应中的对象。

例如：Content-Encoding：gzip

 

Content-Language

作用： WEB服务器告诉浏览器自己响应的对象的语言者

例如： Content-Language:da

 

Miscellaneous 头域

Server:

作用：指明HTTP服务器的软件信息

例如:Server: Microsoft-IIS/7.5

 

X-AspNet-Version:

作用：如果网站是用ASP.NET开发的，这个header用来表示ASP.NET的版本

例如: X-AspNet-Version: 4.0.30319

X-Powered-By:

作用：表示网站是用什么技术开发的

例如： X-Powered-By: ASP.NET

Transport头域

Connection

例如：　Connection: keep-alive   当一个网页打开完成后，客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接

例如：  Connection: close  代表一个Request完成后，客户端和服务器之间用于传输HTTP数据的TCP连接会关闭， 当客户端再次发送Request，需要重新建立TCP连接。

Location头域

Location

作用： 用于重定向一个新的位置, 包含新的URL地址

 实例请看304状态实例

 

HTTP协议是无状态的和Connection: keep-alive的区别

无状态是指协议对于事务处理没有记忆能力，服务器不知道客户端是什么状态。从另一方面讲，打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系

HTTP是一个无状态的面向连接的协议，无状态不代表HTTP不能保持TCP连接，更不能代表HTTP使用的是UDP协议（无连接）

从HTTP/1.1起，默认都开启了Keep-Alive，保持连接特性，简单地说，当一个网页打开完成后，客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭，如果客户端再次访问这个服务器上的网页，会继续使用这一条已经建立的连接

 Keep-Alive不会永久保持连接，它有一个保持时间，可以在不同的服务器软件（如Apache）中设定这个时间

 

 

HTTP协议 (二) 基本认证

http协议是无状态的， 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端， skydrive客户端)跟Web服务器之间是如何身份识别呢？

 

阅读目录

1. 什么是HTTP基本认证
2. HTTP基本认证的过程
3. HTTP基本认证的优点
4. 每次都要进行认证
5. HTTP基本认证和HTTPS一起使用就很安全
6. HTTP OAuth认证
7. 其他认证
8. 客户端的使用

 

什么是HTTP基本认证

桌面应用程序也通过HTTP协议跟Web服务器交互， 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64算法加密后的字符串放在http request 中的header Authorization中发送给服务端， 这种方式叫HTTP基本认证(Basic Authentication)

当浏览器访问使用基本认证的网站的时候， 浏览器会提示你输入用户名和密码，如下图

 

假如用户名密码错误的话， 服务器会返回401 如下图

 

HTTP基本认证的过程

第一步:  客户端发送http request 给服务器， 

第二步:  因为request中没有包含Authorization header,  服务器会返回一个401 Unauthozied 给客户端，并且在Response 的 header "WWW-Authenticate" 中添加信息。

 

第三步：客户端把用户名和密码用BASE64加密后，放在Authorization header中发送给服务器， 认证成功。

第四步：服务器将Authorization header中的用户名密码取出，进行验证， 如果验证通过，将根据请求，发送资源给客户端

 

使用Fiddler Inspectors 下的Auth 选项卡，可以很方便的看到用户名和密码:

 

HTTP基本认证的优点

HTTP基本认证，简单明了。Rest API 就是经常使用基本认证的

 

每次都要进行认证

http协议是无状态的， 同一个客户端对 服务器的每个请求都要求认证

 

HTTP基本认证和HTTPS

把 "用户名+冒号+密码" 用BASE64加密后的string虽然用肉眼看不出来， 但用程序很容易解密，上图可以看到Fiddler就直接给解密了。 所以这样的http request 在网络上，如果用HTTP传输是很不安全的。 一般都是会用HTTPS传输, HTTPS是加密的, 所以比较安全.

 

HTTP OAuth认证

OAuth 对于Http来说，就是放在Authorization header中的不是用户名密码， 而是一个token.

微软的Skydrive 就是使用这样的方式， 如下图

 

 

其他认证

除了基本认证(Basic Authentication), 还有摘要认证 digest authentication, WSSE(WS-Security)认证

 

 

客户端的使用

客户端如果要跟“使用基本认证的网站”交互。 非常很简单，把用户名密码 加在Authorization header中就可以了。

 

C#

string url = "https://testsite";
HttpWebRequest req = (HttpWebRequest)WebRequest.Create(url);
NetworkCredential nc = new NetworkCredential("username", "password");
req.Credentials = nc;

 

Linux下的curl

curl -u username:password https://testsite/

 

 

 

HTTP协议 (三) 压缩

之前写过一个篇 【HTTP协议详解】 ，这次继续介绍HTTP协议中的压缩。

本文会使用Fiddler来查看HTTP request和Response, 如果不熟悉这个工具，可以先参考[Fiddler教程]

HTTP压缩是指: Web服务器和浏览器之间压缩传输的”文本内容“的方法。 HTTP采用通用的压缩算法，比如gzip来压缩HTML,Javascript, CSS文件。 能大大减少网络传输的数据量，提高了用户显示网页的速度。当然，同时会增加一点点服务器的开销。 本文从HTTP协议的角度，来理解HTTP压缩这个概念。

 
阅读目录

1. HTTP内容编码和HTTP压缩的区别
2. HTTP压缩的过程
3. 实例：用Fiddler观察HTTP压缩
4. 内容编码类型
5. 压缩的好处
6. gzip的缺点
7. gzip是如何压缩的
8. HTTP Response能压缩，HTTP Request也是可以压缩的

 

HTTP内容编码和HTTP压缩的区别

HTTP压缩，在HTTP协议中，其实是内容编码的一种。

在http协议中，可以对内容（也就是body部分）进行编码， 可以采用gzip这样的编码。 从而达到压缩的目的。 也可以使用其他的编码把内容搅乱或加密，以此来防止未授权的第三方看到文档的内容。

所以我们说HTTP压缩，其实就是HTTP内容编码的一种。 所以大家不要把HTTP压缩和HTTP内容编码两个概念混淆了。

 

HTTP压缩的过程

1. 浏览器发送Http request 给Web服务器,  request 中有Accept-Encoding: gzip, deflate。 (告诉服务器， 浏览器支持gzip压缩)

2. Web服务器接到request后， 生成原始的Response, 其中有原始的Content-Type和Content-Length。

3. Web服务器通过Gzip，来对Response进行编码， 编码后header中有Content-Type和Content-Length(压缩后的大小)， 并且增加了Content-Encoding:gzip.  然后把Response发送给浏览器。

4. 浏览器接到Response后，根据Content-Encoding:gzip来对Response 进行解码。 获取到原始response后， 然后显示出网页。

如下图:

 

 

实例：Fiddler观察HTTP压缩

眼见为实， 我们看一个实际的例子， 我发现博客园就使用了gzip压缩。

使用Fiddler可以清楚地看到。  

 

在Fiddler中，每次都要手动去decode. 太麻烦。  点击工具栏上的"Decode"按钮，就可以自动decode了。

 

内容编码类型

 HTTP定义了一些标准的内容编码类型，并允许用扩展的形式添加更多的编码。

Content-Encoding header 就用这些标准化的代号来说明编码时使用的算法

Content-Encoding值

gzip　　表明实体采用GNU zip编码

compress 表明实体采用Unix的文件压缩程序

deflate　　表明实体是用zlib的格式压缩的

identity　　表明没有对实体进行编码。当没有Content-Encoding header时， 就默认为这种情况

gzip, compress, 以及deflate编码都是无损压缩算法，用于减少传输报文的大小，不会导致信息损失。 其中gzip通常效率最高， 使用最为广泛。

 

压缩的好处

 http压缩对纯文本可以压缩至原内容的40%, 从而节省了60%的数据传输。

 实例： 博客园首页压缩前是：46124 bytes. 压缩后是：16368bytes.     只有原先的35%。  节省了65%的数据传输，从而大大提高了性能

 有图为证。

 

Gzip的缺点

JPEG这类文件用gzip压缩的不够好。

 

Gzip是如何压缩的

简单来说， Gzip压缩是在一个文本文件中找出类似的字符串， 并临时替换他们，使整个文件变小。这种形式的压缩对Web来说非常适合， 因为HTML和CSS文件通常包含大量的重复的字符串，例如空格，标签。

 

HTTP Response能压缩，HTTP Request也是可以压缩的

浏览器是不会对Request压缩的。 但是 一些HTTP程序在发送Request时，会对其进行编码。 如下图。

 

 

 

HTTP协议 (四) 缓存

之前写过一个篇 【HTTP协议详解】 ，这次继续介绍HTTP协议中的缓存机制。HTTP协议提供了非常强大的缓存机制， 了解这些缓存机制，对提高网站的性能非常有帮助。 本文介绍浏览器和Web服务器之间如何处理"浏览器缓存"，以及控制缓存的http header.

本文会使用Fiddler来查看HTTP request和Response, 如果不熟悉这工具，可以先参考[Fiddler教程] 。在看本文的时候， 请务必打开Fiddler来实践。

阅读目录

1. 缓存的概念
2. 缓存的好处
3. Fiddler可以方便地查看缓存的header
4. 如何判断缓存新鲜度
5. 通过最后修改时间，判断缓存新鲜度
6. 与缓存相关的header
7. ETag
8. 浏览器不使用缓存
9. 直接使用缓存，不去服务器端验证
10. 如何设置IE不使用缓存
11. 公有缓存和私有缓存的区别

 

缓存的概念

缓存这个东西真的是无处不在， 有浏览器端的缓存， 有服务器端的缓存，有代理服务器的缓存， 有ASP.NET页面缓存，对象缓存。 数据库也有缓存， 等等。

http中具有缓存功能的是浏览器缓存，以及缓存代理服务器。

 

http缓存的是指:当Web请求抵达缓存时， 如果本地有“已缓存的”副本，就可以从本地存储设备而不是从原始服务器中提取这个文档。

缓存的好处

缓存的好处是显而易见的， 好处有，

1. 减少了冗余的数据传输，节省了网费。

2. 减少了服务器的负担， 大大提高了网站的性能

3. 加快了客户端加载网页的速度

 

Fiddler可以方便地查看缓存的header

Fiddler中把header都分门别类的放在一起，这样方便查看。

 

如何判断缓存新鲜度

Web服务器通过2种方式来判断浏览器缓存是否是最新的。

第一种， 浏览器把缓存文件的最后修改时间通过 header ”If-Modified-Since“来告诉Web服务器。

第二种， 浏览器把缓存文件的ETag, 通过header "If-None-Match", 来告诉Web服务器。

 

通过最后修改时间, 来判断缓存新鲜度

1. 浏览器客户端想请求一个文档，  首先检查本地缓存，发现存在这个文档的缓存，  获取缓存中文档的最后修改时间，通过： If-Modified-Since， 发送Request给Web服务器。

2. Web服务器收到Request，将服务器的文档修改时间（Last-Modified）: 跟request header 中的，If-Modified-Since相比较， 如果时间是一样的， 说明缓存还是最新的， Web服务器将发送304 Not Modified给浏览器客户端， 告诉客户端直接使用缓存里的版本。如下图。

3. 假如该文档已经被更新了。Web服务器将发送该文档的最新版本给浏览器客户端， 如下图。

 

实例： 打开Fiddler, 然后打开博客园首页。然后F5刷新几次浏览器。 你会看到博客园首页也用了缓存。

 

与缓存有关的header

我们来看看每个header的具体含义。

Request

Cache-Control: max-age=0	以秒为单位
If-Modified-Since: Mon, 19 Nov 2012 08:38:01 GMT	缓存文件的最后修改时间。
If-None-Match: "0693f67a67cc1:0"	缓存文件的Etag值
Cache-Control: no-cache	不使用缓存
Pragma: no-cache	不使用缓存

 

 

    

 

 

 

Response

Cache-Control: public	响应被缓存，并且在多用户间共享，  （公有缓存和私有缓存的区别，请看另一节）
Cache-Control: private	响应只能作为私有缓存，不能在用户之间共享
Cache-Control:no-cache	提醒浏览器要从服务器提取文档进行验证
Cache-Control:no-store	绝对禁止缓存（用于机密，敏感文件）
Cache-Control: max-age=60	60秒之后缓存过期（相对时间）
Date: Mon, 19 Nov 2012 08:39:00 GMT	当前response发送的时间
Expires: Mon, 19 Nov 2012 08:40:01 GMT	缓存过期的时间（绝对时间）
Last-Modified: Mon, 19 Nov 2012 08:38:01 GMT	服务器端文件的最后修改时间
ETag: "20b1add7ec1cd1:0"	服务器端文件的Etag值

 

 

 

 

 

 

 

 

 

 

如果同时存在cache-control和Expires怎么办呢？
浏览器总是优先使用cache-control，如果没有cache-control才考虑Expires  

 

ETag

ETag是实体标签（Entity Tag）的缩写， 根据实体内容生成的一段hash字符串（类似于MD5或者SHA1之后的结果），可以标识资源的状态。 当资源发送改变时，ETag也随之发生变化。

ETag是Web服务端产生的，然后发给浏览器客户端。浏览器客户端是不用关心Etag是如何产生的。

为什么使用ETag呢？ 主要是为了解决Last-Modified 无法解决的一些问题。

1. 某些服务器不能精确得到文件的最后修改时间， 这样就无法通过最后修改时间来判断文件是否更新了。

2. 某些文件的修改非常频繁，在秒以下的时间内进行修改. Last-Modified只能精确到秒。

3. 一些文件的最后修改时间改变了，但是内容并未改变。 我们不希望客户端认为这个文件修改了。

 

实例， 打开Fiddler, 打开博客园首页。  你可以看到很多图片，或者CSS文件都是用了缓存。 这些都是通过比较ETag的值，来判断文件是否更新了。

 

浏览器不使用缓存

CTRL+F5强制刷新浏览器，或者设置IE。  可以让浏览器不使用缓存。

1. 浏览器发送Http request, 给Web 服务器， header中带有Cache-Control: no-cache.   明确告诉Web服务器，客户端不使用缓存。 

2. Web服务器将把最新的文档发送给浏览器客户端.

 

实例:

打开Fiddler, 打开博客园首页， 然后按CTRL+F5强制刷新浏览器，你将看到

Pragma: no-cache的作用和Cache-Control: no-cache一模一样。 都是不使用缓存。 

Pragma: no-cache 是HTTP 1.0中定义的， 所以为了兼容HTTP 1.0. 所以会同时使用Pragma: no-cache和Cache-Control: no-cache

 

直接使用缓存，不去服务器验证

按F5刷新浏览器和在地址栏里输入网址然后回车。 这两个行为是不一样的。

按F5刷新浏览器， 浏览器会去Web服务器验证缓存。

如果是在地址栏输入网址然后回车，浏览器会"直接使用有效的缓存", 而不会发http request 去服务器验证缓存，这种情况叫做缓存命中，如下图

 

实例： 比较第一次访问博客园主页和第二次博客园主页

1. 启动Fiddler, 用firefox打开博客园主页， 发现有50多个session。

2. 按CTRL+X将Fiddler中的所有session删除。 关闭firefox,重新打开一个firefox，打开博客园主页。   发现只有30多个session.

分析；  少了的session是因为firefox直接用了缓存，而没有发http request。

 

 

如何设置IE不使用缓存

打开IE。点击工具栏上的， 工具->Internet选项->常规->浏览历史记录 设置. 选择“从不”。然后保存。

然后点击“删除”  把Internet临时文件都删掉 （IE缓存的文件就是Internet临时文件）。

 

公有缓存和私有缓存的区别

Cache-Control: public 指可以公有缓存， 可以是数千名用户共享的。

Cache-Control: private 指只支持私有缓存， 私有缓存是单个用户专用的。

HTTP协议 (五) 代理

之前写过一个篇 【HTTP协议详解】 ，这次介绍代理服务器， 代理服务器是HTTP协议中一个重要的组件， 发挥着重要的作用。 本文介绍一些HTTP代理服务器的概念和工作原理

 

阅读目录

1. 什么是代理服务器
2. Fiddler就是个典型的代理
3. 代理作用一：FQ
4. 代理作用二：匿名访问
5. 代理作用三：通过代理上网
6. 代理作用四：通过代理缓存，加快上网速度
7. 代理作用五：儿童过滤器
8. IE代理设置：手动设置代理
9. IE代理设置：使用自动配置脚本(PAC)
10. IE代理设置：自动探测设置(WPAD)
11. 代理认证，407状态码
12. 使用代理服务器的安全问题
13. 如何搭建代理服务器

 

什么是代理服务器

Web代理（proxy）服务器是网络的中间实体。 代理位于Web客户端和Web服务器之间，扮演“中间人”的角色。

HTTP的代理服务器即是Web服务器又是Web客户端。

 

 

Fiddler就是个典型的代理

Fiddler 是以代理web服务器的形式工作的,它使用代理地址:127.0.0.1, 端口:8888. 当Fiddler退出的时候它会自动注销代理，这样就不会影响别的程序。

 

 

代理的作用一， FQ

很多人都喜欢用Facebook， 看youTube。但是我们在天朝，天朝有The Great of Wall(长城防火墙)，屏蔽了这些好网站。  怎么办?   通过代理来跳墙，就可以访问了。

自己去寻找代理服务器很麻烦， 一般都是用FQ软件来自动发现代理服务器的。

 

代理的作用二， 匿名访问

经常听新闻，说”某某某“在网络上发布帖子，被跨省追缉了。   假如他使用匿名的代理服务器，就不容易暴露自己的身份了。 

http代理服务器的匿名性是指： HTTP代理服务器通过删除HTTP报文中的身份特性（比如客户端的IP地址， 或cookie,或URI的会话ID）， 从而对远端服务器隐藏原始用户的IP地址以及其他细节。 同时HTTP代理服务器上也不会记录原始用户访问记录的log(否则也会被查到)。

 

代理的作用三， 通过代理上网

比如局域网不能上网， 只能通过局域网内的一台代理服务器上网。

 

代理的作用四， 通过代理缓存，加快上网速度

大部分代理服务器都具有缓存的功能，就好像一个大的cache， 它有很大的存储空间，它不断将新取得数据存储到它本地的存储器上， 如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传给用户的浏览器，这样就能显著提高浏览速度。

代理的作用五：儿童过滤器

很多教育机构， 会利用过滤器代理来阻止学生访问成人内容。

 

IE代理设置：手动设置代理

IE浏览器可以手动设置代理， 很简单，指定一个IP地址和端口就可以了。 如下图。

工具 -＞ Internet选项 -> 连接 -> 局域网设置 （快捷键）

假如代理服务器的IP地址改变了，或者端口号改变了。 难道要几百个客户端的浏览器去修改浏览器设置？ Impossable  这太难维护了。  下面还有一种更高级点的方法。

IE代理设置：使用自动配置脚本（PAC）

 手动配置代理很简单，但是不灵活。 只能指定一个代理服务器，而且不支持故障转移。 

在大公司里一般都使用PAC文件来配置。只需要指定PAC文件的URL就可以了， 如图：

PAC（Proxy Auto Config）文件是一个小型的JavaScript程序的文本文件，后缀为.dat。 

当浏览器访问网络的时候，会根据PAC文件中的JavaScript函数来选择恰当的代理服务器。

sample_pac.dat文件的内容

function FindProxyForURL(url, host) {
    if (url.substring(0, 5) == "http:") {
        // 应该使用指定的代理
        return "PROXY proxy:80";
    }
    else if (url.substring(0, 4) == "ftp:") {
        return "PROXY fproxy:80";
    }
    else if (url.substring(0, 7) == "gopher:") {
        return "PROXY gproxy";
    }
    else if (url.substring(0, 6) == "https:") {
        return "PROXY secproxy:8080";
    }
    else {
        // 直连，不经过任何代理
        return "DIRECT";
    }
}

 

 

IE代理设置：自动探测设置（WPAD）

 浏览器只要选中“自动检测设置”， 就可以使用WPAD协议， WPAD会自动找到PAC文件的URL。  WPAD会使用一系列的资源发现技术（DHCP,DNS等）去寻找PAC文件。

 

代理认证，和407状态码

代理服务器也可以需要权限认证， HTTP定义了一种名为代理认证（Proxy authentication）的机制。 这种机制可以阻止对内容的请求。

当浏览器访问需要认证的代理时， 代理服务器会返回407 Authorization Required,告诉浏览器输入用户名和密码。

代理认证跟HTTP基本认证是一样的机制， 如需了解代理认证的机制，请看[HTTP协议基本认证]

 

使用代理服务器的安全问题

代理服务器和抓包工具（比如Fiddler）都能看到http request中的数据。 如果我们发送的request中有敏感数据，比如用户名，密码，信用卡号码。这些信息都会被代理服务器看到。所以非常危险。 所以我们一般都是用HTTPS来加密Http request.  这样代理服务器就看不到里面的数据了。

 

如何搭建代理服务器

可以使用CCproxy, 和Squid 来搭建代理服务器。

 

HTTP协议 (六) 状态码详解

HTTP状态码，我都是现查现用。 我以前记得几个常用的状态码，比如200，302，304，404， 503。 一般来说我也只需要了解这些常用的状态码就可以了。  如果是做AJAX，REST,网络爬虫，机器人等程序。还是需要了解其他状态码。  本文我花了一个多月的时间把所有的状态码都总结了下，内容太多，看的时候麻烦耐心点了。

HTTP状态码的学习资料到处都有，但是都是理论上讲解。  本文介绍HTTP协议中的HTTP状态码（HTTP Status Code）， 会对大部分的状态码都进行了详细的实例讲解。

要了解状态码，应该在实例中去理解状态码的意义，否则看了也会忘记的。

用Fiddler工具可以查看HTTP Request和Response, 还可以方便地查看Response中的状态码， 如果不熟悉这个工具，可以先参考【Fiddler教程】

为了重现HTTP 状态码，本文会使用Fiddler Composer来创建“特殊的HTTP Request”.  可以参考【Fiddler Composer创建和发送HTTP Request】

 

阅读目录

1. 什么是HTTP状态码
2. 状态码分类
3. 常见的状态码
4. 1XX 消息
5. 2XX 成功
6. 3XX 重定向
7. 4XX 客户端错误
8. 5XX 服务器错误
9. 204 No Content(没有内容)
10. 206  Partial Content(部分内容)
11. 301 Moved Permanently（永久移除)
12. 400 Bad Request（坏请求)
13. 403 Forbidden(禁止)
14. 405 Method Not Allowed(不允许使用的方法)
15. 411 Length Required（要求长度指示）
16. 413 Request Entity Too Large（请求实体太大）
17. 414 Request URI Too Long(请求URI太长)
18. 500 Internal Server Error(内部服务器错误)
19. 501 Not Implemented(未实现)
20. 502 Bad Gateway（网关故障）
21. 505 HTTP Version Not Supported(不支持的HTTP版本)

 

什么是HTTP状态码

HTTP状态码的作用是：Web服务器用来告诉客户端，发生了什么事。

状态码位于HTTP Response 的第一行中，会返回一个”三位数字的状态码“和一个“状态消息”。 ”三位数字的状态码“便于程序进行处理， “状态消息”更便于人理解。 

如下图，  当客户端请求一个不存在的URL的时候， Web服务器会返回 “HTTP/1.1 404 Not Found” 告诉浏览器客户端。 服务器无法找到所请求的URL。

状态码分类

HTTP状态码被分为五大类， 目前我们使用的HTTP协议版本是1.1， 支持以下的状态码。随着协议的发展，HTTP规范中会定义更多的状态码。 

小技巧：  假如你看到一个状态码518， 你并不知道具体518是什么意思。 这时候你只要知道518是属于（5XX，服务器错误就可以了）

 

	已定义范围	分类
1XX	100-101	信息提示
2XX	200-206	成功
3XX	300-305	重定向
4XX	400-415	客户端错误
5XX	500-505	服务器错误

 

 

 

 

 

 

常见的状态码

一般人只需要了解以下常见的状态码就够了， 如果你想了解更多， 请继续往下看。

200 OK 服务器成功处理了请求（这个是我们见到最多的）

301/302 Moved Permanently（重定向）请求的URL已移走。Response中应该包含一个Location URL, 说明资源现在所处的位置

304 Not Modified（未修改）客户的缓存资源是最新的， 要客户端使用缓存

404 Not Found 未找到资源

501 Internal Server Error服务器遇到一个错误，使其无法对请求提供服务

 

 

 

 

1XX 信息性状态码

这些状态码是HTTP 1.1引入的。 对于这些状态码的价值还存在争论 （我个人从来没见过这些状态码， 也没有理解这些状态码。）

状态码	状态消息	含义	实例
100	Continue(继续)	收到了请求的起始部分，客户端应该继续请求
101	Switching Protocols（切换协议）	服务器正根据客户端的指示将协议切换成Update Header列出的协议

 

 

 

 

2XX 成功状态码

客户端发起请求时， 这些请求通常都是成功的。服务器有一组用来表示成功的状态码，分别对应于不同类型的请求。

状态码	状态消息	含义	实例
200	OK	服务器成功处理了请求（这个是我们见到最多的）	HTTP协议详解-200
201	Created（已创建）	对于那些要服务器创建对象的请求来说，资源已创建完毕。
202	Accepted（已接受）	请求已接受， 但服务器尚未处理
203	Non-Authoritative Information（非权威信息）	服务器已将事务成功处理，只是实体Header包含的信息不是来自原始服务器，而是来自资源的副本。
204	No Content(没有内容)	Response中包含一些Header和一个状态行， 但不包括实体的主题内容（没有response body）	状态码204
205	Reset Content(重置内容)	另一个主要用于浏览器的代码。意思是浏览器应该重置当前页面上所有的HTML表单。
206	Partial Content（部分内容）	部分请求成功	状态码206

 

 

 

 

 

 

 

 

3XX 重定向状态码

重定向状态码用来告诉浏览器客户端，它们访问的资源已被移动， Web服务器发送一个重定向状态码和一个可选的Location Header, 告诉客户端新的资源地址在哪。

浏览器客户端会自动用Location中提供的地址，重新发送新的Request。 这个过程对用户来说是透明的。

301和302 非常相似，  一个是永久转移，一个是临时转移。  

（SEO中，搜索引擎如果碰到301， 比如网页A用301重定向到网页B，搜索引擎可以肯定网页A永久性改变地址，就会把网页B当做唯一有效目标）

302，303，307 是一样。  这是因为302是HTTP 1.0定义的， HTTP1.1中使用303,307. 同时又保留了302.  （但在现实中，我们还是用302，我是没见过303和307）

 

所以这一节， 我们只需要掌握302， 304 就可以了。

 

状态码	状态消息	含义	实例
300	Multiple Choices（多项选择）	客户端请求了实际指向多个资源的URL。这个代码是和一个选项列表一起返回的，然后用户就可以选择他希望的选项了
301	Moved Permanently（永久移除)	请求的URL已移走。Response中应该包含一个Location URL, 说明资源现在所处的位置	状态码301
302	Found（已找到）	与状态码301类似。但这里的移除是临时的。 客户端会使用Location中给出的URL，重新发送新的HTTP request	HTTP协议详解-302
303	See Other（参见其他）	类似302
304	Not Modified（未修改）	客户的缓存资源是最新的， 要客户端使用缓存	HTTP协议之缓存-304
305	Use Proxy（使用代理）	必须通过代理访问资源， 代理的地址在Response 的Location中
306	未使用	这个状态码当前没使用
307	Temporary Redirect（临时重定向	类似302

 

 

 

 

 

 

 

 

 

 

4XX客户端错误状态码

有时客户端会发送一些服务器无法处理的东西，比如格式错误的Request, 或者最常见的是， 请求一个不存在的URL。

状态码	状态消息	含义	实例
400	Bad Request（坏请求）	告诉客户端，它发送了一个错误的请求。	状态码400
401	Unauthorized（未授权）	需要客户端对自己认证	HTTP协议之基本认证-401
402	Payment Required（要求付款）	这个状态还没被使用， 保留给将来用
403	Forbidden（禁止）	请求被服务器拒绝了	状态码403
404	Not Found（未找到）	未找到资源	HTTP协议详解-404
405	Method Not Allowed（不允许使用的方法）	不支持该Request的方法。	状态码405
406	Not Acceptable（无法接受）
407	Proxy Authentication Required(要求进行代理认证)	与状态码401类似， 用于需要进行认证的代理服务器	HTTP协议之代理-407
408	Request Timeout（请求超时）	如果客户端完成请求时花费的时间太长， 服务器可以回送这个状态码并关闭连接
409	Conflict（冲突）	发出的请求在资源上造成了一些冲突
410	Gone（消失了）	服务器曾经有这个资源，现在没有了， 与状态码404类似
411	Length Required（要求长度指示）	服务器要求在Request中包含Content-Length。	状态码411
412	Precondition Failed（先决条件失败）
413	Request Entity Too Large（请求实体太大）	客户端发送的实体主体部分比服务器能够或者希望处理的要大	状态码413
414	Request URI Too Long（请求URI太长）	客户端发送的请求所携带的URL超过了服务器能够或者希望处理的长度	状态码414
415	Unsupported Media Type（不支持的媒体类型）	服务器无法理解或不支持客户端所发送的实体的内容类型
416	Requested Range Not Satisfiable（所请求的范围未得到满足）
417	Expectation Failed（无法满足期望）

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5XX服务器错误状态码

有时候客户端发送了一条有效Request, Web服务器自身却出错了。 可能是Web服务器运行出错了， 或者网站都挂了。  5XX就是用来描述服务器错误的。

 

状态码	状态消息	含义	实例
500	Internal Server Error(内部服务器错误)	服务器遇到一个错误，使其无法为请求提供服务	状态码500
501	Not Implemented（未实现）	客户端发起的请求超出服务器的能力范围(比如，使用了服务器不支持的请求方法)时，使用此状态码。	状态码501
502	Bad Gateway（网关故障）	代理使用的服务器遇到了上游的无效响应	状态码502
503	Service Unavailable（未提供此服务）	服务器目前无法为请求提供服务，但过一段时间就可以恢复服务
504	Gateway Timeout（网关超时）	与状态吗408类似， 但是响应来自网关或代理，此网关或代理在等待另一台服务器的响应时出现了超时
505	HTTP Version Not Supported（不支持的HTTP版本）	服务器收到的请求使用了它不支持的HTTP协议版本。 有些服务器不支持HTTP早期的HTTP协议版本，也不支持太高的协议版本	状态码505

 

 

 

 

 

 

 

 

 

204 No Content(没有内容)

返回的Response中只有一些Header和一个状态行， 没有实体的主题内容（没有response body）

204状态码的作用在于： 1. 在不获取资源的情况下了解资源的情况（比如判断其类型）

2. 通过查看Response中的状态码， 看看某个对象是否存在

3. 通过查看Header, 测试资源是否被修改了。

实例：先打开Fiddler, 然后启动浏览器访问ditu.google.cn,  你会捕获到很多204

 

206 Partial Content(部分内容)

206状态码代表服务器已经成功处理了部分GET请求（只有发送GET 方法的request, web服务器才可能返回206），

应用场景：

1. FlashGet, 迅雷或者HTTP下载工具都是使用206状态码来实现断点续传

2. 将以个大文档分解为多个下载段同时下载 比如，在线看视频

 

实例：　一些流媒体技术比如在线视频，可以边看边下载。　就是使用206来实现的。

打开Fiddler， 然后用浏览器打开“搜狐视频中的绿箭侠” http://tv.sohu.com/20121011/n354681393.shtml    然后你在Fiddler中就能看到一堆的206

1. 浏览器发送一个Get 方法的request.  header中包含 Range: bytes=5303296-5336063. (意思就是请求得到5303296-5336063这个范围的数据)。

2. Web服务器返回一个206 的Response. header中包含Content-Range: bytes 5303296-5336063/12129376(表明这次返回的内容范围)

301 Moved Permanently（永久移除)

请求的URL已移走。Response中应该包含一个Location URL, 说明资源现在所处的位置

例如：  1.  浏览器客户端访问 http://map.google.cn

2. Web服务器返回Response 301，Location=http://titu.google.cn  （告诉客户端我们的资源位于这里， ）

3. 浏览器客户端会自动再发送一个Request 去访问http://titu.google.cn

 

400 Bad Request（坏请求)

发送的Request中的数据有错误(比如：表单有错误，Cookie有错误)，  这个我们也经常见到。 

实例： 还没想到， 想到了再贴个实例上来。

 

403 Forbidden(禁止)

Web客户端发送的请求被Web服务器拒绝了， 如果服务器想说明为什么拒绝请求，可以包含实体的主体部分来对原因进行描述。但这个状态码通常是服务器不想说明拒绝原因。

访问下面的URL， 会被服务器拒绝. 并且返回403状态码

http://t2.baidu.com/it/u=1791561788,200960144&fm=0&gp=0.jpg

 

404 Page not Found (请求的资源不存在)

这个大家都懂的， 值得一提的是：　腾讯把404页面做成了“寻找被拐儿童”

 

405 Method Not Allowed(不允许使用的方法)

405是指Web服务器不支持Request中的方法。

我个人认为状态码405Method Not Allowed和501 Not Implemented 是一样的意思。都是不支持Request的方法。 （目前我还不知道这两个的区别）

实例:  发送一个是trace方法的Request 给www.google.com

411 Length Required（要求长度指示）

服务器要求在Request中包含Content-Length。

当浏览器使用Post方法，发送数据给Web服务器时， 必须要有Content-Length。这样Web服务器才知道你要发送多少数据，否则Web服务器会返回411状态码

实例： 发送一个Post方法的Request 给www.google.com.   Request中没有Content-Length

 

413 Request Entity Too Large（请求实体太大）

作用：客户端发送的实体主体部分比服务器能够或者希望处理的要大。  一般情况下我们看不到这个状态码。 因为浏览器不会发送太大的数据给网站，但是机器人可能会。

实例: 用post方法发送一个大文件(100MB以上)给www.google.com

414 Request URI Too Long(请求URI太长)

就是说Request URI太长， 一般浏览器本身对URI的长度就会有限制，所以不会发送URI很长的Request. 我们平常是根本看不到414错误的。 但是机器人可以发送很长URI。

例如：我们用Fiddler Composer发送一个很长的URI给Google, 比如 "www.google.com?q=asdfasdasf.."  q=后面的参数很长。 就可以看到414了

500 Internal Server Error(内部服务器错误)

这个太常见了， 我们开发网站的时候，当我们的程序出错了时，就会返回500错误。

实例：ASP.NET 程序出错

 

501 Not Implemented(未实现)

客户端发起的请求超出服务器的能力范围(比如，使用了服务器不支持的请求方法)时，使用此状态码）。  一般的Web服务器只支持GET和POST方法。

实例： 使用Fiddler Composer 给www.qq.com,  发送一个OPTIONS 方法的Request.   服务器就能返回501了。

502 Bad Gateway（网关故障）

代理使用的服务器遇到了上游的无效响应。  

Fiddler本身就是代理服务器。  当我们访问www.facebook.com，这网站被我们天朝屏蔽了。 所以我们可以得到502

505 HTTP Version Not Supported(不支持的HTTP版本)

表示Web服务器不支持此HTTP协议的版本。  

众所周知我们现在使用的HTTP协议版本是HTTP/1.1， 如果我们发送一个HTTP/2.0 的request 给博客园， 博客园肯定不能支持HTTP/2.0，所以会返回505 

想要发送这样的request, 可以使用Fiddler工具中的Composer来发送自定义的request, 如下图。

 

[本文参考了： HTTP：The Definitive Guide]

HTTP协议 (七) Cookie

Cookie是HTTP协议中非常重要的东西， 之前拜读了Fish Li 写的【细说Cookie】， 让我学到了很多东西。Fish的这篇文章写得太经典了。 所以我这篇文章就没有太多内容了。 

最近我打算写一个系列的HTTP文章，我站在HTTP协议的角度， 说说我对Cookie的理解。

 

阅读目录

1. Cookie是什么,有什么用，为什么要用到Cookie
2. Cookie的分类
3. Cookie存在哪里
4. 使用和禁用Cookie
5. Fiddler查看HTTP中的Cookie
6. 网站自动登陆的原理
7. 截获Cookie，冒充别人身份
8. Cookie和文件缓存的区别
9. Cookie泄露隐私
10. P3P协议

 

Cookie是什么，有什么用，为什么要用到Cookie

请看Fish Li 写的【细说Cookie】

 

Cookie的分类

可以大致把Cookie分为2类： 回话cookie和持久cookie

会话cookie: 是一种临时的cookie，它记录了用户访问站点时的设置和偏好，关闭浏览器，会话cookie就被删除了

持久cookie: 存储在硬盘上，（不管浏览器退出，或者电脑重启，持久cookie都存在）， 持久cookie有过期时间

 

Cookie存在哪里

Cookie是存在硬盘上，  IE存cookie的地方和Firefox存cookie的地方不一样。  不同的操作系统也可能存cookie的地方不一样。

不同的浏览器会在各自的独立空间存放Cookie, 互不干涉

以我的windows7， IE8为例，  cookie存在这： C:\Users\xiaoj\AppData\Local\Microsoft\Windows\Temporary Internet Files

注意： 缓存文件和cookie文件，是存在一起的, 都在这个目录下。

你也可以这样找, 打开IE，点击Tools->Internet Options->General Tab下的->Browsing history下的Setting按钮，弹出的对话框中点击View files.

 

不同的网站会有不同的cookie文件

 

使用和禁用Cookie

IE:   工具->Internet 选项 -> 隐私

 

Fiddler查看HTTP中的Cookie

浏览器把cookie通过HTTP Request 中的“Cookie: header”发送给Web服务器

Web服务器通过HTTP Response中的"Set-Cookie: header"把cookie发送给浏览器

使用Fiddler可以清楚地看到cookie在HTTP中传递。 Fiddler工具中可以清晰的看到Http Request 中的Cookie， 和Http Response中的cookie  

实例： 启动Fiddler,  启动浏览器访问一些购物网站，就可以看到。

 

 

网站自动登陆的原理

我们以”博客园自动登陆“的例子，来说明cookie是如何传递的。

大家知道博客园是可以自动登陆的。 如下图，这个是什么原理呢?

假如我已经在登陆页面输入了用户名，密码，选择了保存密码，登陆。

（这时候，其实在你的机器上保存好了登陆的cookie, 不信你可以按照上节介绍方法去你的电脑上找下博客园的cookie）  

当我下次访问博客园流程如下。

1. 用户打开IE浏览器，在地址栏上输入www.cnblogs.com.

2. IE首先会在硬盘中查找关于cnblogs.com的cookie. 然后把cookie放到HTTP Request中，再把Request发给Web服务器。

3. Web服务器返回博客园首页（你会看到你已经登陆了）。

 

截获Cookie，冒充别人身份

通过上面这个例子，可以看到cookie是很重要的，识别是否是登陆用户，就是通过cookie。  假如截获了别人的cookie是否可以冒充他人的身份登陆呢？  当然可以， 这就是一种黑客技术叫Cookie欺骗。

利用Cookie 欺骗， 不需要知道用户名密码。就可以直接登录，使用别人的账户做坏事。

我知道有两种方法可以截获他人的cookie，

1. 通过XSS脚步攻击， 获取他人的cookie. 具体原理可以看 [Web安全性测试之XSS]

2. 想办法获取别人电脑上保存的cookie文件（这个比较难）

 

拿到cookie后，就可以冒充别人的身份了。 这个过程我就不演示了。

Cookie和文件缓存的区别

很多人会把cookie和文件缓存弄混淆， 这两个完全是不一样的东西。唯一的相同之处可能是它们俩都存在硬盘上，而且是存在同一个文件夹下。

关于HTTP缓存请看这 【HTTP协议之缓存】

我们在IE中可以选择分别删除Cookie和缓存文件

 

 

Cookie 泄露隐私

2013年央视的315晚会上， 曝光了很多不法公司利用Cookie跟踪并采集用户的个人信息，并转卖给网络广告商，形成了一条窃取用户信息的灰色产业链。从而实现广告准确投放。严重干扰了用户的正常网络应用，侵害了个人的隐私和利益。

我经常就在门户网站上发现广告位上显示的是我在电商网站上流量过的商品。  这就是我的cookie被泄露了。

 

目前在欧洲， 已经对Cookie立法， 如果网站需要保存用户的cookie, 必须弹出一个对话框，要用户确认后才能保存Cookie.

 

P3P协议

从上面看来， Cookie 是一个比较容易泄露用户隐私和危险的东西。  有没有办法保护个人用户隐私呢？    那就是P3P协议

P3P是一种被称为个人隐私安全平台项目（the Platform for Privacy Preferences）的标准，能够保护在线隐私权，使Internet冲浪者可以选择在浏览网页时，是否被第三方收集并利用自己的个人信息。如果一个 站点不遵守P3P标准的话，那么有关它的Cookies将被自动拒绝，并且P3P还能够自动识破多种Cookies的嵌入方式。p3p是由全球资讯联盟网 所开发的。