检请求

是面向连接的协议。

在数据传输之前必须先建立一个连接数据传输完成后再释放连接。

这确保了数据的可靠性和顺序性。

UDP

是无连接的协议。

每个数据包都是独立的发送端和接收端不需要建立持久的连接。

这使得UDP更轻量和快速但也意味着它不提供数据包的可靠性和顺序性。

tcp协议在传输前会建立连接对传输的数据有确认机制确认对方是否收到有丢失重传机制如果对方未收到重新传一份有流量控制机制防止传输过快而导致对方来不及处理导致丢包等确保数据的完整性和顺序性。

HTTP使用TCP作为其传输层协议通过TCP建立的连接来传输数据确保可靠性和完整性。

url输入地址到呈现网页有哪些步骤

当用户在浏览器中输入URL统一资源定位符浏览器首先对URL进行解析提取出协议通常是HTTP或HTTPS、主机名域名、路径等信息。

域名解析DNS

浏览器需要将主机名解析为对应的IP地址这一过程通过DNS域名系统完成。

如果浏览器缓存中没有对应的IP地址它会向DNS服务器发送查询请求获取目标服务器的IP地址。

建立TCP连接

使用获得的IP地址浏览器通过TCP协议与目标服务器建立连接。

对于HTTPS还需要进行SSL/TLS握手过程以建立安全连接。

发起HTTP请求

一旦TCP连接建立浏览器通过HTTP协议向服务器发送请求。

该请求包含要访问的资源的详细信息如路径、请求方法GET、POST等等。

服务器处理请求

服务器收到请求后会根据请求的内容进行处理可能涉及数据库查询、业务逻辑执行等。

服务器将处理结果封装成HTTP响应并返回给浏览器。

接收和解析响应

浏览器接收服务器的HTTP响应然后开始解析响应的内容。

这包括检查状态码例如200表示成功404表示未找到等、解析报头信息等。

下载页面资源

如果响应包含HTML页面浏览器会开始下载HTML文档。

随后它会解析HTML文档同时发起对文档中引用的其他资源如CSS、JavaScript、图像等的请求。

构建文档对象模型DOM

浏览器解析HTML文档并构建DOM这是浏览器用于表示页面结构的内部模型。

渲染页面

浏览器使用DOM和CSSOMCSS对象模型来构建渲染树然后根据渲染树和布局信息执行绘制操作最终将页面呈现在用户的屏幕上。

执行JavaScript

如果页面包含JavaScript代码浏览器会执行这些脚本。

脚本可以修改DOM、处理用户交互等影响页面的动态行为。

HTTP协议中的POST和GET是两种常见的请求方法它们有一些本质区别。

GET请求

GET请求的参数附在URL上通过URL的查询字符串传递。

安全性

GET请求的参数可见因为它们附在URL上不适合传输敏感信息。

数据长度

由于参数在URL中GET请求对传输的数据有长度限制因此适用于较小的数据。

**

请求会被缓存:

默认情况下GET请求会被浏览器缓存这是因为GET请求通常用于获取资源

POST请求

POST请求的参数不可见因为它们在请求体中适合传输敏感信息。

数据长度

POST请求对传输的数据没有固定的长度限制适用于传输较大的数据。

**

请求会被缓存:

默认情况下POST请求不会被浏览器缓存这是因为POST请求通常用于提交表单或者传递敏感信息缓存这类请求可能导致安全性问题

对于跨域请求浏览器会执行CORS跨域资源共享策略。

当满足以下任一条件时就是非简单请求浏览器会触发CORS预检Preflight

HEAD、GET、POST不是这三种比如DELET、PUT。

使用了特殊的Content-Type

Content-Type不是以下三者之一application/x-www-form-urlencoded、multipart/form-data、text/plain。

在这种情况下浏览器会先发送一个OPTIONS预检请求以确定实际请求是否安全。

如果服务器确认可以接受实际请求然后浏览器才会发送实际请求。

这样做是为了确保跨域请求不会对服务器产生未预期的影响从而提高安全性。

GET和POST的本质区别在于数据传递的位置和安全性。

二次预检通常在跨域的情况下对非简单请求进行预检。

http

Secure是用于在网络上传输数据的两种协议它们之间存在几个关键的区别

安全性

是明文传输的协议数据传输过程中不加密因此容易被中间人窃听和篡改。

HTTPS

使用了SSL/TLS协议进行加密确保数据在传输过程中的安全性。

因此HTTPS更适用于涉及隐私和安全性要求较高的场景如登录、支付等。

HTTP

使用SSL/TLS证书这是由证书颁发机构CA颁发的用于验证服务器的身份。

这可以防止中间人攻击确保用户连接的是正确的服务器。

HTTP

加密和解密的过程会引入一些额外的计算因此在性能上可能稍慢一些。

然而随着硬件和加密算法的改进这种差距正在减小。

SEO

被搜索引擎更青睐Google等搜索引擎将HTTPS作为搜索排名的一个因素并在浏览器地址栏标记非HTTPS网站为“不安全”。

使用场景

适用于需要保护用户隐私和数据安全的场景如登录、支付、个人信息传输等。

总的来说HTTPS在安全性和隐私方面更为可靠因此在涉及用户敏感信息的情况下推荐使用HTTPS。

在现代互联网环境中越来越多的网站都采用了HTTPS协议。

非对称加密

1.客户端向服务端发起第一次握手请求告诉服务端客户端所支持的SSL的指定版本、加密算法及密钥长度等信息。

2.服务端将自己的公钥发给数字证书认证机构数字证书认证机构利用自己的私钥对服务器的公钥进行数字签名并给服务器颁发公钥证书。

(证书一直保存在服务器)

3.服务端将证书发给客户端。

(证书里面有服务器的公钥中间人能够拿到服务器的公钥但他没有认证机构的私钥无法加密生成数字签名纂改证书)

4.客服端利用数字认证机构的公钥浏览器保存在客户端的解密证书的数字签名确认服务器公开密钥的真实性证书的数字签名解密后必须与服务端的公钥相同。

5.客户端使用服务端的公开密钥加密自己生成的对称密钥发给服务端。

浏览器缓存

HTTP协议定义了一套缓存机制允许浏览器或其他客户端缓存已获取的资源以减少对服务器的请求和提高性能。

HTTP缓存主要通过两个头部实现Cache-Control和Expires。

Cache-Control头部

这是最常用的控制缓存的头部之一。

通过该头部服务器可以指示浏览器如何处理缓存。

常见的指令包括

public:

表示缓存需要重新验证即每次都需要向服务器发送请求验证资源是否过期。

no-store:

Cache-Control:

这是另一个控制缓存的头部指定了资源的过期时间。

过期时间是一个HTTP日期表示资源过期的确切时间缺点是它依赖服务器和客户端的时间同步。

Expires:

GMT除了这两个头部还有其他一些与缓存相关的头部如Last-Modified和ETag用于验证缓存的新鲜度。

这些头部一起协助客户端和服务器在资源请求和响应之间进行有效的缓存管理。

浏览器会优先判断是否有ETag

ETag:

ETag通常是一个资源的强标识符因为它可以使用更复杂的算法例如哈希函数以确保唯一性。

更精确

由于可以使用更精确的标识符ETag比Last-Modified更能捕捉到资源的实际变化。

处理时钟回退

与Last-Modified不同ETag不受时钟回退的影响因为它通常是基于内容的。

Last-Modified:

Last-Modified使用资源的上次修改时间这是一种相对简单的方法可以很容易地从文件系统或者HTTP头中获取。

降低服务器负担

由于不需要额外的计算使用Last-Modified可能会在服务器性能上更具优势。

时钟回退

如果服务器与客户端的时钟有轻微的不同步Last-Modified相对容忍时钟回退。

流程图

HTTP超文本传输协议是用于在Web上传输数据的协议。

不同版本的HTTP协议有一些显著的变化和改进。

以下是几个主要版本的HTTP及其主要区别

HTTP/1.0:

1945。

每个请求/响应都需要建立一个新的TCP连接导致高延迟。

不支持持久连接每个请求/响应都需要独立的连接。

HTTP/1.1:

connections一个连接可以传输多个请求和响应。

引入了管道化pipelining允许客户端同时发送多个请求而不必等待之前的响应。

引入了更多的缓存控制机制如Cache-Control头部。

支持范围请求Range

HTTP/2:

引入了二进制传输替代了HTTP/1.x中的文本协议提高了效率。

多路复用Multiplexing允许在一个连接上同时发送多个请求和响应解决了HTTP/1.x中的队头阻塞问题。

头部压缩使用HPACK算法对HTTP头部进行压缩减少了数据传输量。

服务器推送Server

Push服务器可以在客户端请求之前主动向客户端推送资源。

支持优先级和依赖关系。

HTTP/3:

Connections协议。

进一步提高性能和安全性。

具有更低的连接建立时间支持快速迁移Fast

Handover和移动性。

使用多个流进行并行传输。

通过QUIC的特性减少了握手的时间提高了连接的安全性。

http响应码

HTTP状态码是指示客户端请求服务器的结果的三位数字。

它们是HTTP超文本传输协议标准的一部分由服务器返回以响应客户端发给服务器的请求。

以下是一些常见的HTTP状态码

1xx信息性

同源策略是一个重要的安全策略它用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。

三个都相同的才能互相访问即若协议、域名、端口有一个不相同时浏览器禁止页面加载或执行与自身不同域的脚本。

URL结果原因http://store.company.com/dir2/other.html同源只有路径不同http://store.company.com/dir/inner/another.html同源只有路径不同https://store.company.com/secure.html失败协议不同http://store.company.com:81/dir/etc.html失败端口不同http://

80http://news.company.com/dir/other.html失败主机不同

如何解决跨域

当然并不是所有的外部链接都支持这取决对方网站服务器的配置通过jsonp来实现跨域请求

本质也是通过插入script标签利用其src属性来实现的并且只能get请求。

通过CORS跨域资源共享实现跨域请求需要服务器设置跨域资源共享

Access-Control-Allow-Methods:POST,GET,OPTIONS

Access-Control-Allow-Headers:Origin,x-requested-with,content-type,Accept通过代理实现跨域请求例如nginx

、node中间件

在同源服务器里通过node.js(express/koa)来请求目标服务器的资源实现转发。

//引入

require(http-proxy-middleware);

//创建服务实例