HTTP协议学习(补充)
1.HTTP长连接
每次http请求需要创建tcp连接,需要三次握手
chrome一次支持6个并发连接
创建长连接可以在请求头里面加上Connection: Keep-Alive
一个TCP连接可以发送多个HTTP请求,但是在HTTP1.1里面http请求在tcp连接上发送是有先后顺序的,但是在HTTP2上面可以并发的发送http请求
2.数据协商
客户端发送给服务端请求的时候,客户端会声明希望这个请求我拿到的数据格式和数据相关的限制,服务端会根据这个请求进行判断返回不同的数据类型
可以分为请求和返回两类
1.Accept
- Accept 我想要的数据类型
- Accept-Encoding 想要的数据的编码格式
- Accept-Language 希望展示的语言
- User-Agent 浏览器相关信息(返回PC还是移动端页面)
2.Content
- Content-Type 可以从Accept里面选择一种数据格式进行返回,实际的返回数据格式
- Content-Encoding 服务端具体用的压缩方式
- Content-Language 具体返回的语言
请求头里面Accept虽然填了很多,但是服务端不一定按照你想要的结果返回
Accept-Encoding: gzip, deflate, br 其中gzip是用的最多的
Accept-Language:zh-CN;q=0.9,en;q=0.8,zh-TW;q=0.7... 这里的q是权重的意思
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36(KHTML, like Gecko) Chrome/66.0 3359.181 Safari/537.36
Mozilla/5.0 因为浏览器最早是网景公司出的,所以就默认是Mozilla/5.0的头
(Windows NT 10.0; Win64; x64) 是系统信息
AppleWebKit/537.36 浏览器内核
(KHTML, like Gecko)渲染引擎的版本 Gecko 是火狐浏览器的渲染引擎
Chrome/66.0 3359.181 浏览器版本号
Safari/537.36 因为WebKit是苹果出的,所以会加上这个版本号
X-Content-Type-Options: nosniff 这个在早期浏览器中,如果没有指定Content-Type,则会自动预测返回的类型,会导致一些安全性的问题,但是现在浏览器一般没有这个问题
409B 是包含了响应头的整个包的大小,下面的264B是响应体的大小(获取之后解压)
在服务端可以设置响应头Content-Encoding: gzip会压缩减小整个包的大小
Content-Type: mutipart/form-data 是在上传表单的时候,会分割表单的每一项的每个部分,每个部分有不同的类型会用Content-Type描述,如果没加就是文本
3.Redirect
不同的状态码
-
301 永久移动
永久重定向,即使服务端已经好了也不行,301会去读本地磁盘的缓存,所以除非清除浏览器缓存,不然还会继续重定向,没有过期时间
-
302 临时移动
4.CSP
全称Content-Security-Policy
- 限制资源获取情况
- 报告资源获取越权
限制方式(资源类型有很多)
- connect-src
- img-src
- font-src
- frame-src
- media-src
- script-src
- style-src
- manifest-src...
需要外链加载的都可以进行一个资源类型的限制
'Content-Security-Policy':'default-src http: https:' // 限制外链
'Content-Security-Policy':'default-src \'self\'; form-action\'self\''
// 指定出现触发安全策略时向服务器报告
'Content-Security-Policy':'default-src \'self\'; report-uri /report'
