[toc]
# HTTP简介
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,它基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。
# HTTP 工作原理
HTTP协议工作于客户端-服务端架构上。
## HTTP信息处理过程:
**此为典型案例:**
(1)客户与服务器建立连接;
(2)客户向服务器提出请求;
(3)服务器接受请求,并根据请求返回相应的文件作为应答;
(4)客户与服务器关闭连接。
**宏观工作方式:**
* 客户端(UA)直接连接到Web服务器的通讯路径如图所示,客户端与Web服务器之间的通讯不需要任何的中介服务器,这是最简单的情况。
* 客户端(UA)通过中介服务器连接到Web服务器的通讯路径如图所示,客户端与Web服务器之间的通讯通过中介服务器进行转发,中介服务器可能有1个,也可能有多个。
* 客户端(UA)到中介服务器的通讯路径如图所示,客户端将请求发送给中介服务器1,中介服务器1将其发送中介服务器2,中介服务器2再发给Web服务器,最后客户端收到的内容由中介服务器1发送给它,而不是Web服务器。
**内部操作过程:**
如图所示,它分为四个步骤:建立连接、发出请求信息、发出响应信息、关闭连接。
## 小知识:
HTTP默认端口号为80,但是也可以改为8080或者其他端口。
## HTTP传输展示
## HTTP注意事项:
* HTTP是无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式主要考虑到WWW服务器面向的是Internet中成干上万个用户,且只能提供有限个连接,故服务器不会让一个连接处于等待状态,及时地释放连接可以大大提高服务器的执行效率。
* HTTP是一种面向对象的协议:允许传送任意类型的数据对象。它通过数据类型和长度来标识所传送的数据内容和大小,并允许对数据进行压缩传送。
* HTTP是无状态:HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
# HTTP隐患
因HTTP在设计之初未深入考虑安全问题,它只是未解决数据传输和共享问题而设计。但被有心人恶意利用后就发现了一些安全隐患,部分隐患展示:
* 明文传输隐患
因HTTP传递的数据是不经过处理的,也就是常说的明文传输,不会加密这些信息,并因HTTP是基于TCP/IP的,TCP/IP的特点也决定了HTTP数据很容易被截获,只要攻击者能够捕获这些信息,用户的隐私就暴露在攻击者眼中(在不违法Web标准的情况下)。
* 身份验证隐患
因在HTTP标准中,没有校验对方身份的标准,无法有效的验证双方是本人故易被攻击者伪造进行恶意攻击。
* 数据完整性隐患
因HTTP数据在传输过程中,会经过很多节点,这些节点都可以修改原始数据,而对于客户端和服务器来说,没有任何技术来确保接收的数据就是发送者发送的原始数据,这样就存在了被篡改的隐患。
# 参考资料
* 《HTTP百度百科》
* 《HTTPS教程》
* 《深入浅出HTTPS:从原理到实战》
* 《HTTP网页访问应用分析》
