HTTP协议解析

HTTP协议解析

HTTP（HyperText Transfer Protocol）即超文本传输协议，是一种详细规定了浏览器和万维网服务器之间相互通信的规则，它是万维网交换信息的基础，它允许将HTML（超文本标记语言）文档从Web服务器传送到Web浏览器。默认TCP 80端口。
HTTP协议目前最新版的版本是1.1，HTTP是一种无状态的协议。无状态是指Web浏览器与Web服务器之间不需要建立持久的连接，这意味着当一个客户端向服务器发出请求，Web服务器返回响应（Response），连接就被关闭了，在服务器端不保留连接的有关信息，也就是说，HTTP请求只能由客户端发起，而服务器不能主动向客户端发送数据。
HTTP遵循请求（Request）/应答（Response）模型，Web浏览器向Web服务器发送请求，然后Web服务器处理请求并返回适当的应答。

HTTP请求

如何发起一个HTTP请求？这个问题似乎很简单，当在浏览器地址栏中输入一个URL，并按回车键就发起了这个HTTP请求，很快就会看到这个请求的返回结果。
URL（统一资源定位符）也被成为网页地址，是互联网标准的地址。URL的标准格式如下：
协议://服务器IP[:端口]/路径/[?查询]
例如，http://www.baidu.com/help/help.html就是一个标准的URL
借助浏览器可以快速发起一次HTTP请求，如果不借助浏览器应该怎样发起HTTP请求呢？其实可以借助很多工具来发起HTTP请求，例如，在Linux系统中的curl命令。严格地说，浏览器也属于HTTP工具的一种。

HTTP请求内容

HTTP请求包括三部分，分别是请求行（请求方法）、请求头（消息报头）和请求正文，下面是HTTP请求的一个例子。

POST /login.php HTTP/1.1    	 //请求行
HOST：www.test.com           	 //请求头
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0)  	 
//空白行，代表请求头结束
Username=admin&password=admin   //请求正文

HTTP请求行的第一行即为请求行，请求行由三部分组成，该行的第一部分说明了该请求是POST请求；改行的第二部分是一个斜杠（/login.php）,用来说明请求是该域名根目录下的login.php。该行的最后一部分说明使用的是HTTP 1.1版本。
第二行至空白行为HTTP中的请求头（也被成为消息头）。其中，HOST代表请求的主机地址，User-Agent代表浏览器的标识。请求头由客户端自行设定。关于消息头的内容，在后面章节中将会详细介绍。
HTTP请求的最后一行为请求正文，请求正文是可选的，它最常出现在POST请求方法中。

HTTP响应

与HTTP请求对应的是HTTP响应，HTTP响应也由三部分内容组成，分别是响应行、响应头（消息报头）和响应正文（消息主题）。下面是一个经典的HTTP响应。

HTTP/1.1 200 OK    			//响应行
Date：Thu,28 Feb 2015 07:36:47 GMT       	//响应头
Server:BWS/1.0
Content-Length:4199
Content-Type:text/html;charset=utf-8
Content-Encoding:gzip
Set-Cookie:H_PS_PSSID=2022_1438_1944_1788;path=/;domain=.test.com
Connection:Keep-Alive    
//空白行代表响应头结束
<head><title>Index.html</title></head>  	 //响应正文
……………………

HTTP响应的第一行为响应行，其中有HTTP版本（HTTP/1.1）、状态码（200）以及消息状态“OK”。
第二行至末尾的空白行为响应头，由服务器向客户端发送。
消息报头之后是响应正文，是服务器向客户端发送的HTML数据

HTTP状态码

当客户端发出HTTP请求，服务器端接收后，会向客户端发送响应信息，其中，HTTP响应中的第一行中，最重要的一点就是HTTP的状态码，内容如下：

HTTP/1.1 200 OK

此状态码为200，在HTTP协议中表示请求成功。HTTP协议中的状态码由三位数字组成，第一位数字定位了响应的类型

1xx：代表请求已被接受，需要继续处理。范围100-102
2xx：代表请求已成功被服务器接收、理解、并接受。范围200-207。
200 -服务器成功返回网页
3xx：重定向。范围300-307
4xx：请求错误。范围400-449。 404 - 请求的网页不存在
5xx：服务器错误。范围500-510。503 - 服务不可用
600：源站没有返回响应头部，只返回实体内容

HTTP请求方法 GET

HTTP请求的方法非常多，其中GET、POST最常见。下面是HTTP请求方法的详细介绍
GET方法用于获取请求页面的指定消息（以实体的格式）。如果请求资源为动态脚本（除HTML），那么返回文本是Web容器解析后的HTML源代码，而不是源文件。例如请求index.jsp，那么返回的不是index.jsp的源文件，而是经过解析后的HTML代码。
如下HTTP请求：

GET /index.php?id=1  HTTP/1.1
HOST:www.test.com

使用GET请求index.php，并且id参数为1，在服务器端脚本语言中可以选择性地接受这些数据，比如id=1&name=admin，一般都是由开发者内定好的参数项目才会接收，比如开发者只接收id参数项目，若加了其它参数项，如：
Index.php?id=1&uername=admin //多个参数项以“&”分隔
服务器端脚本不会理会你加入的内容，依然只会接收id参数，并且去查询数据，最终向服务器端发送解析过的HTML数据，不会因为你的干扰而乱套。

HEAD

HEAD方法除了服务器不能在响应里返回消息主体外，其它都与GET方法相同。此方法经常被用来测试超文本链接的有效性、可访问性和最近的改变。攻击者编写扫描工具时，就常用此方法，因为只测试资源是否存在，而不用返回消息主题，所以速度一定是最快的。一个经典的HTTP HEAD请求如下：

HEAD /index.php HTTP/1.1
HOST:www.test.com

POST

POST方法也与GET方法相似，但最大的区别在于，GET方法没有请求内容，而POST是有请求内容的。POST请求最多用于向服务器发送大量的数据。GET虽然也能发送数据，但是有大小（长度）的限制，并且GET请求会将发送的数据显示在浏览器端，而POST则不会，所以安全性相对来说高一点。

例如，上传文件、提交留言等，只要是向服务器传输大量的数据，通常都会使用POST请求（登录一般也是post请求）。

PUT

PUT方法用于请求服务器把请求中的实体存储在请求资源下，如果请求资源已经在服务器中存在，那么将会用此请求中的数据替换原先的数据，作为指定资源的最新修改版。如果请求指定的资源不存在，将会创建这个资源，且数据位请求正文，请求如下：

PUT /input.txt
HOST:www.test.com
Content-Length:6

123456

这段HTTP PUT请求将会在主机根目录下创建input.txt，内容为123456。通常情况下，服务器都会关闭PUT方法，因为它会为服务器建立文件，属于危险的方法之一。

OPTIONS

OPTIONS方法是用于请求获得由URL标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法，客户端可以在采取具体资源请求之前，决定对该资源采取何种必要措施，或者了解服务器的性能。HTTP OPTIONS请求如下：

OPTIONS /HTTP1.1
HOST:www.test.com

HTTP/1.1 200 OK
Allow:OPTIONS,TRACE,GET,HEAD,POST
Server:Microsoft-IIS/7.5
……

其它方法

DELETE方法用于请求源服务器删除请求的指定资源。服务器一般都会关闭此方法，因为客户端可以进行删除文件 *** 作，属于危险方法之一。

TRACE方法被用于激发一个远程的应用层的请求消息回路，也就是说，回显服务器收到的请求。TRACE方法允许客户端去了解数据被请求链的另一端接收的情况，并且利用那些数据信息去测试或诊断，但此方法非常少见。

HTTP消息 请求头

HTTP消息又成为HTTP头（HTTP header），由四部分组成，分别是请求头、响应头、普通头和实体头。从名称上看，我们就可以知道它们所处的位置。

1、Host
说明：请求的web服务器域名地址
2、User-Agent
说明：HTTP客户端运行的浏览器类型的详细信息。通过该头部信息，web服务器可以判断到当前HTTP请求的客户端浏览器类别。
实例：
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
3、Accept
说明：指定客户端能够接收的内容类型，内容类型中的先后次序表示客户端接收的先后次序。
例如：
Accept:text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,/;q=0.5
4、Accept-Language
说明：指定HTTP客户端浏览器用来展示返回信息所优先选择的语言。
实例：
Accept-Language: zh-cn,zh;q=0.5
这里默认为中文。
5、Accept-Encoding
说明：指定客户端浏览器可以支持的web服务器返回内容压缩编码类型。表示允许服务器在将输出内容发送到客户端以前进行压缩，以节约带宽。而这里设置的就是客户端浏览器所能够支持的返回压缩格式。
实例：Accept-Encoding: gzip,deflate
备注：其实在百度很多产品线中，apache在给客户端返回页面数据之前，将数据以gzip格式进行压缩，deflate使缩小。
6、Accept-Charset
说明：浏览器可以接受的字符编码集。
实例：Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7
7、Content-Type
说明：显示此HTTP请求提交的内容类型。一般只有post提交时才需要设置该属性。
实例：Content-type: application/x-www-form-urlencoded;charset:UTF-8
有关Content-Type属性值可以如下两种编码类型：
（1）“application/x-www-form-urlencoded”： 表单数据向服务器提交时所采用的编码类型，默认的缺省值就是“application/x-www-form-urlencoded”。 然而，在向服务器发送大量的文本、包含非ASCII字符的文本或二进制数据时这种编码方式效率很低。
（2）“multipart/form-data”： 在文件上载时，所使用的编码类型应当是“multipart/form-data”，它既可以发送文本数据，也支持二进制数据上载。
8、Connection
说明：表示是否需要持久连接。如果web服务器端看到这里的值为“Keep-Alive”，或者看到请求使用的是HTTP 1.1（HTTP 1.1默认进行持久连接），它就可以利用持久连接的优点，当页面包含多个元素时（例如Applet，图片），显著地减少下载所需要的时间。要实现这一点， web服务器需要在返回给客户端HTTP头信息中发送一个Content-Length（返回信息正文的长度）头，最简单的实现方法是：先把内容写入ByteArrayOutputStream，然 后在正式写出内容之前计算它的大小。
实例：Connection: keep-alive
9、Keep-Alive
说明：显示此HTTP连接的Keep-Alive时间。使客户端到服务器端的连接持续有效，当出现对服务器的后继请求时，Keep-Alive功能避免了建立或者重新建立连接。
以前HTTP请求是一站式连接，从HTTP/1.1协议之后，就有了长连接，即在规定的Keep-Alive时间内，连接是不会断开的。
实例：Keep-Alive: 300
10、cookie
说明：HTTP请求发送时，会把保存在该请求域名下的所有cookie值一起发送给web服务器。
11、Referer
说明：包含一个URL，用户从该URL代表的页面出发访问当前请求的页面
HTTP消息又成为HTTP头（HTTP header），由四部分组成，分别是请求头、响应头、普通头和实体头。从名称上看，我们就可以知道它们所处的位置。

响应头

Location: http://www.test.com/index.jsp(控制浏览器显示哪个页面)
Server:apache tomcat(服务器的类型)
Content-Encoding: gzip(服务器发送的压缩编码方式)
Content-Length: 80(服务器发送显示的字节码长度)
Content-Language: zh-cn(服务器发送内容的语言和国家名)
Content-Type: image/jpeg; charset=UTF-8(服务器发送内容的类型和编码类型)
Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT(服务器最后一次修改的时间)
Refresh: 1;url=http://www.test.com(控制浏览器1秒钟后转发URL所指向的页面)
Content-Disposition: attachment; filename=aaa.jpg(服务器控制浏览器以下载方式打开文件)
Transfer-Encoding: chunked(服务器分块传递数据到客户端）
Set-Cookie:SS=Q0=5Lb_nQ; path=/search(服务器发送Cookie相关的信息)
Expires: -1(服务器控制浏览器不要缓存网页，默认是缓存)
Cache-Control: no-cache(服务器控制浏览器不要缓存网页)
Pragma: no-cache(服务器控制浏览器不要缓存网页)
Connection: close/Keep-Alive(HTTP请求的版本的特点)
Date: Tue, 11 Jul 2000 18:23:51 GMT(响应网站的时间)