文章目录
- 1、什么是http?
- 2、http报文格式
- 3、请求报文
- 1、认识URL
- 2、认识http方法
- 3、认识header
- 4、响应报文
- 5、https加密机制
1、什么是http?
http是应用层最广泛使用的协议之一;其中浏览器获取到网页就是基于http实现的;http就是浏览器和客户端之间的桥梁
2、http报文格式
http有请求报文和响应报文两种;
例子:打开力扣,进行抓包:
请求报文(此处使用Fiddler抓包)
响应报文:
这个就是力扣主页里面的html内容;
请求报文格式:
3、请求报文
1、认识URL
此处省略了端口号:一般默认是http的端口号80;
查询字符串:获取资源的时候带的参数
带层次的文件路径:查到程序管辖下的哪个文件;
url:协议方案名+IP地址+端口号+带层次的路径+查询字符串
注意:
- query string是非常重要的参数,以?开头,是以键值对的方式进行描述的,键和值之间用=,键值对和键值对之间用&分割;
2、认识http方法
http有很多方法:
这些方法就描述了请求的时候具体要求,但是应用最多的方法是GET和POST
这是GET请求,POST请求一般是登录或上传文件时才会出现;
另外,POST的body部分是程序员自己定义的
经典面试题:GET和POST有什么区别?
3、认识header
header部分是由很多键值对组成的,不同的键值对有不同的含义,
关于Cookie:
4、响应报文
http的状态码描述了这次相应的结果,是成功还是失败,或者失败的原因
下面是几个比较重要的状态码:
状态码总结:
http报文格式:
5、https加密机制
https就是http+ssl(安全层)
因为http是明文传输的,所以有很大的风险会泄露信息,所以引入了https,通过加密的方式,来保护我们的报文信息。
加密又分为对称加密和非对称加密;
对称加密: 客户端生成一个秘钥,然后将这个秘钥传给服务器,接着二者通信就通过这个秘钥来加密、解密,但是传输秘钥的时候也有可能泄漏,所以对称加密的方式也是不安全的;
非对称加密: 服务器生成一对秘钥:公钥和私钥,使用公钥进行加密,使用私钥进行解密,即使报文被拦截,没有私钥也是无法解密的;
但是由于对称加密的效率比较低,并且会消耗大量的资源,所以我们一般使用非对称加密来传输对称加密的秘钥,接着使用对称加密进行传输
但是这种方式也不是特别安全,如果有人在中间强行捣乱也是可以做到的,当服务器传输给客户端公钥时,黑客就可以冒充客户端将公钥拦截下来,自己生成一对公钥和私钥,将自己的公钥发送给客户端,客户端收到服务器的公钥后,就会使用明文+公钥的方式将自己生成的秘钥进行加密,接着传输给服务器,黑客此时就会冒充服务器将报文拦截下来,并且使用自己的私钥进行解密,解密后就可以的到客户端的生成的公钥,因此这种方式也不是完全安全的传输;
流程:
因此,我们需要解决中间人攻击这个问题,而解决这个问题的关键,就是让客户端识别传来的这个公钥是不是真正的客户端公钥
