http协议及浏览器原理

HTTP协议是用于从WWW服务器传输超文本到本地浏览器的传送协议，用于浏览器和服务器的通信。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示等。默认HTTP的端口号为80.

常用的请求方式

常用的请求方式是GET和POST.

• GET方式：是以实体的方式得到由请求URI所指定资源的信息，如果请求URI只是一个数据产生过程，那么最终要在响应实体中返回的是处理过程的结果所指向的资源，而不是处理过程的描述。

• POST方式：用来向目的服务器发出请求，要求它接受被附在请求后的实体，并把它当作请求队列中请求URI所指定资源的附加新子项，Post被设计成用统一的方法实现下列功能：

1：对现有资源的解释;
2：向电子公告栏、新闻组、邮件列表或类似讨论组发信息;
3：提交数据块;
4：通过附加操作来扩展数据库 。

从上面描述可以看出，Get是向服务器发索取数据的一种请求;而Post是向服务器提交数据的一种请求，要提交的数据位于信息头后面的实体中。

GET与POST方法有以下区别：

(1) 在客户端，Get方式在通过URL提交数据，数据在URL中可以看到;POST方式，数据放置在HTML HEADER内提交。
(2) GET方式提交的数据最多只能有1024字节，而POST则没有此限制。
(3) 安全性问题。正如在(1)中提到，使用 Get 的时候，参数会显示在地址栏上，而 Post 不会。所以，如果这些数据是中文数据而且是非敏感数据，那么使用 get;如果用户输入的数据不是中文字符而且包含敏感数据，那么还是使用 post为好.
(4) 安全的和幂等的。所谓安全的意味着该操作用于获取信息而非修改信息。幂等的意味着对同一 URL 的多个请求应该返回同样的结果。完整的定义并不像看起来那样严格。换句话说，GET 请求一般不应产生副作用。从根本上讲，其目标是当用户打开一个链接时，她可以确信从自身的角度来看没有改变资源。比如，新闻站点的头版不断更新。虽然第二次请求会返回不同的一批新闻，该操作仍然被认为是安全的和幂等的，因为它总是返回当前的新闻。反之亦然。POST 请求就不那么轻松了。POST 表示可能改变服务器上的资源的请求。仍然以新闻站点为例，读者对文章的注解应该通过 POST 请求实现，因为在注解提交之后站点已经不同了(比方说文章下面出现一条注解)。

请求头

HTTP最常见的请求头如下：

• Accept：浏览器可接受的MIME类型;

• Accept-Charset：浏览器可接受的字符集;

• Accept-Encoding：浏览器能够进行解码的数据编码方式，比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间;

• Accept-Language：浏览器所希望的语言种类，当服务器能够提供一种以上的语言版本时要用到;

• Authorization：授权信息，通常出现在对服务器发送的WWW-Authenticate头的应答中;

• Connection：表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”，或者看到请求使用的是HTTP 1.1(HTTP 1.1默认进行持久连接)，它就可以利用持久连接的优点，当页面包含多个元素时(例如Applet，图片)，显著地减少下载所需要的时间。要实现这一点，Servlet需要在应答中发送一个Content-Length头，最简单的实现方法是：先把内容写入ByteArrayOutputStream，然后在正式写出内容之前计算它的大小;

• Content-Length：表示请求消息正文的长度;

• Cookie：这是最重要的请求头信息之一;

• From：请求发送者的email地址，由一些特殊的Web客户程序使用，浏览器不会用到它;

• Host：初始URL中的主机和端口;

• If-Modified-Since：只有当所请求的内容在指定的日期之后又经过修改才返回它，否则返回304“Not Modified”应答;

• Pragma：指定“no-cache”值表示服务器必须返回一个刷新后的文档，即使它是代理服务器而且已经有了页面的本地拷贝;

• Referer：包含一个URL，用户从该URL代表的页面出发访问当前请求的页面。

• User-Agent：浏览器类型，如果Servlet返回的内容与浏览器类型有关则该值非常有用;

• UA-Pixels，UA-Color，UA-OS，UA-CPU：由某些版本的IE浏览器所发送的非标准的请求头，表示屏幕大小、颜色深度、操作系统和CPU类型。

响应头

HTTP最常见的响应头如下所示：

• Allow：服务器支持哪些请求方法(如GET、POST等);

• Content-Encoding：文档的编码(Encode)方法。只有在解码之后才可以得到Content-Type头指定的内容类型。利用gzip压缩文档能够显著地减少HTML文档的下载时间。Java的GZIPOutputStream可以很方便地进行gzip压缩，但只有Unix上的Netscape和Windows上的IE 4、IE 5才支持它。因此，Servlet应该通过查看Accept-Encoding头(即request.getHeader(“Accept-Encoding”))检查浏览器是否支持gzip，为支持gzip的浏览器返回经gzip压缩的HTML页面，为其他浏览器返回普通页面;

• Content-Length：表示内容长度。只有当浏览器使用持久HTTP连接时才需要这个数据。如果你想要利用持久连接的优势，可以把输出文档写入ByteArrayOutputStram，完成后查看其大小，然后把该值放入Content-Length头，最后通过byteArrayStream.writeTo(response.getOutputStream()发送内容;

• Content-Type： 表示后面的文档属于什么MIME类型。Servlet默认为text/plain，但通常需要显式地指定为text/html。由于经常要设置Content-Type，因此HttpServletResponse提供了一个专用的方法setContentTyep。 可在web.xml文件中配置扩展名和MIME类型的对应关系;

• Date：当前的GMT时间。你可以用setDateHeader来设置这个头以避免转换时间格式的麻烦;

• Expires：指明应该在什么时候认为文档已经过期，从而不再缓存它。

• Last-Modified：文档的最后改动时间。客户可以通过If-Modified-Since请求头提供一个日期，该请求将被视为一个条件GET，只有改动时间迟于指定时间的文档才会返回，否则返回一个304(Not Modified)状态。Last-Modified也可用setDateHeader方法来设置;

• Location：表示客户应当到哪里去提取文档。Location通常不是直接设置的，而是通过HttpServletResponse的sendRedirect方法，该方法同时设置状态代码为302;

• Refresh：表示浏览器应该在多少时间之后刷新文档，以秒计。除了刷新当前文档之外，你还可以通过setHeader(“Refresh”, “5; URL=http://host/path")让浏览器读取指定的页面。注意这种功能通常是通过设置HTML页面HEAD区的 实现，这是因为，自动刷新或重定向对于那些不能使用CGI或Servlet的HTML编写者十分重要。但是，对于Servlet来说，直接设置Refresh头更加方便。注意Refresh的意义是“N秒之后刷新本页面或访问指定页面”，而不是“每隔N秒刷新本页面或访问指定页面”。因此，连续刷新要求每次都发送一个Refresh头，而发送204状态代码则可以阻止浏览器继续刷新，不管是使用Refresh头还是 。注意Refresh头不属于HTTP 1.1正式规范的一部分，而是一个扩展，但 Netscape和IE都支持它。

实体头

实体头用坐实体内容的元信息，描述了实体内容的属性，包括实体信息类型，长度，压缩方法，最后一次修改时间，数据有效性等。

• Allow：GET,POST
• Content-Encoding：文档的编码(Encode)方法，例如：gzip，见“2.5 响应头”;
• Content-Language：内容的语言类型，例如：zh-cn;
• Content-Length：表示内容长度，eg：80，可参考“2.5响应头”;

• Content-Location：表示客户应当到哪里去提取文档，例如：http://www.dfdf.org/dfdf.html，可参考“2.5响应头”;

• Content-MD5：MD5 实体的一种MD5摘要，用作校验和。发送方和接受方都计算MD5摘要，接受方将其计算的值与此头标中传递的值进行比较。Eg1：Content-MD5: 。Eg2：dfdfdfdfdfdfdff==;

• Content-Range：随部分实体一同发送;标明被插入字节的低位与高位字节偏移，也标明此实体的总长度。Eg1：Content-Range: 1001-2000/5000，eg2：bytes 2543-4532/7898

• Content-Type：标明发送或者接收的实体的MIME类型。Eg：text/html; charset=GB2312 主类型/子类型;

• Expires：为0证明不缓存;

• Last-Modified：WEB 服务器认为对象的最后修改时间，比如文件的最后修改时间，动态页面的最后产生时间等等。例如：Last-Modified：Tue, 06 May 2008 02:42:43 GMT.

扩展头

在HTTP消息中，也可以使用一些再HTTP1.1正式规范里没有定义的头字段，这些头字段统称为自定义的HTTP头或者扩展头，他们通常被当作是一种实体头处理。
现在流行的浏览器实际上都支持Cookie,Set-Cookie,Refresh和Content-Disposition等几个常用的扩展头字段。

• Refresh：1;url=http://www.dfdf.org //过1秒跳转到指定位置;

• Content-Disposition：头字段,可参考“2.5响应头”;

• Content-Type：WEB 服务器告诉浏览器自己响应的对象的类型。

• eg1：Content-Type：application/xml ;

• eg2：applicaiton/octet-stream;

• Content-Disposition：attachment; filename=aaa.zip。

HTTP协议通信过程

当我们在浏览器的地址栏输入“www.baidu.com”然后按回车，我们直接看到的是打开了对应的网页，内部客户端和服务端的通信：

1、URL自动解析
HTTP URL包含了用于查找某个资源的足够信息，基本格式如下：HTTP://host[“:”port][abs_path]，其中HTTP表示桶盖HTTP协议来定位网络资源；host表示合法的主机域名或IP地址，port指定一个端口号，缺省80；abs_path指定请求资源的URI；如果URL中没有给出abs_path，那么当它作为请求URI时，必须以“/”的形式给出，通常这个工作浏览器自动帮我们完成。
例如：输入www.163.com;浏览器会自动转换成：HTTP://www.163.com/
2、获取IP，建立TCP连接
浏览器地址栏中输入”HTTP://www.xxx.com/"并提交之后，首先它会在DNS本地缓存表中查找，如果有则直接告诉IP地址。如果没有则要求网关DNS进行查找，如此下去，找到对应的IP后，则返回会给浏览器。
当获取IP之后，就开始与所请求的Tcp建立三次握手连接，连接建立后，就向服务器发出HTTP请求。

3、客户端浏览器向服务器发出HTTP请求
一旦建立了TCP连接，Web浏览器就会向Web服务器发送请求命令，接着以头信息的形式向Web服务器发送一些别的信息，之后浏览器发送了一空白行来通知服务器，它已经结束了该头信息的发送。

4、Web服务器应答，并向浏览器发送数据
客户机向服务器发出请求后，服务器会客户机回送应答，HTTP/1.1 200 OK
应答的第一部分是协议的版本号和应答状态码，正如客户端会随同请求发送关于自身的信息一样，服务器也会随同应答向用户发送关于它自己的数据及被请求的文档。
Web服务器向浏览器发送头信息后，它会发送一个空白行来表示头信息的发送到此为结束，接着，它就以Content-Type应答头信息所描述的格式发送用户所请求的实际数据

5、Web服务器关闭TCP连接
一般情况下，一旦Web服务器向浏览器发送了请求数据，它就要关闭TCP连接，然后如果浏览器或者服务器在其头信息加入了这行代码：Connection:keep-alive， TCP连接在发送后将仍然保持打开状态，于是，浏览器可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间，还节约了网络带宽。

http状态码有那些？分别代表是什么意思？

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95

  [
      100  Continue    继续，一般在发送post请求时，已发送了http header之后服务端将返回此信息，表示确认，之后发送具体参数信息
      200  OK         正常返回信息
      201  Created      请求成功并且服务器创建了新的资源
      202  Accepted     服务器已接受请求，但尚未处理
      301  Moved Permanently  请求的网页已永久移动到新位置。
      302 Found          临时性重定向。
      303 See Other      临时性重定向，且总是使用 GET 请求新的 URI。
      304  Not Modified 自从上次请求后，请求的网页未修改过。

      400 Bad Request  服务器无法理解请求的格式，客户端不应当尝试再次使用相同的内容发起请求。
      401 Unauthorized 请求未授权。
      403 Forbidden      禁止访问。
      404 Not Found      找不到如何与 URI 相匹配的资源。

      500 Internal Server Error  最常见的服务器端错误。
      503 Service Unavailable 服务器端暂时无法处理请求（可能是过载或维护）。
  ]

完整版
1**(信息类)：表示接收到请求并且继续处理
  100——客户必须继续发出请求
  101——客户要求服务器根据请求转换HTTP协议版本

2**(响应成功)：表示动作被成功接收、理解和接受
  200——表明该请求被成功地完成，所请求的资源发送回客户端
  201——提示知道新文件的URL
  202——接受和处理、但处理未完成
  203——返回信息不确定或不完整
  204——请求收到，但返回信息为空
  205——服务器完成了请求，用户代理必须复位当前已经浏览过的文件
  206——服务器已经完成了部分用户的GET请求

3**(重定向类)：为了完成指定的动作，必须接受进一步处理
  300——请求的资源可在多处得到
  301——本网页被永久性转移到另一个URL
  302——请求的网页被转移到一个新的地址，但客户访问仍继续通过原始URL地址，重定向，新的URL会在response中的Location中返回，浏览器将会使用新的URL发出新的Request。
  303——建议客户访问其他URL或访问方式
  304——自从上次请求后，请求的网页未修改过，服务器返回此响应时，不会返回网页内容，代表上次的文档已经被缓存了，还可以继续使用
  305——请求的资源必须从服务器指定的地址得到
  306——前一版本HTTP中使用的代码，现行版本中不再使用
  307——申明请求的资源临时性删除

4**(客户端错误类)：请求包含错误语法或不能正确执行
  400——客户端请求有语法错误，不能被服务器所理解
  401——请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用
  HTTP 401.1 - 未授权：登录失败
  　　HTTP 401.2 - 未授权：服务器配置问题导致登录失败
  　　HTTP 401.3 - ACL 禁止访问资源
  　　HTTP 401.4 - 未授权：授权被筛选器拒绝
  HTTP 401.5 - 未授权：ISAPI 或 CGI 授权失败
  402——保留有效ChargeTo头响应
  403——禁止访问，服务器收到请求，但是拒绝提供服务
  HTTP 403.1 禁止访问：禁止可执行访问
  　　HTTP 403.2 - 禁止访问：禁止读访问
  　　HTTP 403.3 - 禁止访问：禁止写访问
  　　HTTP 403.4 - 禁止访问：要求 SSL
  　　HTTP 403.5 - 禁止访问：要求 SSL 128
  　　HTTP 403.6 - 禁止访问：IP 地址被拒绝
  　　HTTP 403.7 - 禁止访问：要求客户证书
  　　HTTP 403.8 - 禁止访问：禁止站点访问
  　　HTTP 403.9 - 禁止访问：连接的用户过多
  　　HTTP 403.10 - 禁止访问：配置无效
  　　HTTP 403.11 - 禁止访问：密码更改
  　　HTTP 403.12 - 禁止访问：映射器拒绝访问
  　　HTTP 403.13 - 禁止访问：客户证书已被吊销
  　　HTTP 403.15 - 禁止访问：客户访问许可过多
  　　HTTP 403.16 - 禁止访问：客户证书不可信或者无效
  HTTP 403.17 - 禁止访问：客户证书已经到期或者尚未生效
  404——一个404错误表明可连接服务器，但服务器无法取得所请求的网页，请求资源不存在。eg：输入了错误的URL
  405——用户在Request-Line字段定义的方法不允许
  406——根据用户发送的Accept拖，请求资源不可访问
  407——类似401，用户必须首先在代理服务器上得到授权
  408——客户端没有在用户指定的饿时间内完成请求
  409——对当前资源状态，请求不能完成
  410——服务器上不再有此资源且无进一步的参考地址
  411——服务器拒绝用户定义的Content-Length属性请求
  412——一个或多个请求头字段在当前请求中错误
  413——请求的资源大于服务器允许的大小
  414——请求的资源URL长于服务器允许的长度
  415——请求资源不支持请求项目格式
  416——请求中包含Range请求头字段，在当前请求资源范围内没有range指示值，请求也不包含If-Range请求头字段
  417——服务器不满足请求Expect头字段指定的期望值，如果是代理服务器，可能是下一级服务器不能满足请求长。

5**(服务端错误类)：服务器不能正确执行一个正确的请求
  HTTP 500 - 服务器遇到错误，无法完成请求
  　　HTTP 500.100 - 内部服务器错误 - ASP 错误
  　　HTTP 500-11 服务器关闭
  　　HTTP 500-12 应用程序重新启动
  　　HTTP 500-13 - 服务器太忙
  　　HTTP 500-14 - 应用程序无效
  　　HTTP 500-15 - 不允许请求 global.asa
  　　Error 501 - 未实现
HTTP 502 - 网关错误
HTTP 503：由于超载或停机维护，服务器目前无法使用，一段时间后可能恢复正常

https

HTTPS(全称：Hypertext Transfer Protocol over Secure Socket Layer)，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，https所用的端口号是443。

https的实现原理

有两种基本的加解密算法类型：

1)对称加密：密钥只有一个，加密解密为同一个密码，且加解密速度快，典型的对称加密算法有DES、AES等;

2)非对称加密：密钥成对出现(且根据公钥无法推知私钥，根据私钥也无法推知公钥)，加密解密使用不同密钥(公钥加密需要私钥解密，私钥加密需要公钥解密)，相对对称加密速度较慢，典型的非对称加密算法有RSA、DSA等。

https通信的优点：

1)客户端产生的密钥只有客户端和服务器端能得到;
2)加密的数据只有客户端和服务器端才能得到明文;
3)客户端到服务端的通信是安全的。

浏览器的渲染过程

1、浏览器请求到HTML代码后，在生成DOM的最开始阶段，并行发起css、图片、js的请求，无论他们是否在HEAD里。浏览器会将HTML解析成一个DOM树，DOM 树的构建过程是一个深度遍历过程：当前节点的所有子节点都构建好后才会去构建当前节点的下一个兄弟节点。
2、CSS文件下载完成，开始构建CSSOM
3、所有CSS文件下载完成，CSSOM构建结束后，和 DOM 一起生成 Render Tree。
4、有了Render Tree，浏览器已经能知道网页中有哪些节点、各个节点的CSS定义以及他们的从属关系。下一步操作就是计算出每个节点在屏幕中的位置。
5、最后一步，按照算出来的规则，把内容渲染到屏幕上。

以上五个步骤前3个步骤因为DOM、CSSOM、Render Tree都可能在第一次Painting后又被更新多次，比如JS修改了DOM或者CSS属性。Layout 和 Painting 也会被重复执行，除了DOM、CSSOM更新的原因外，图片下载完成后也需要调用Layout 和 Painting来更新网页。