本文详l介l反向代理服务的概念以及如何利用反向代理服务器提?span lang=EN-US>WEB服务器的性能和安全性?span lang=EN-US>
一Q反向代理的概念
什么是反向代理呢?其实Q反向代理也是通常所说的WEB服务器加速,它是一U通过在繁忙的WEB服务器和Internet之间增加一个高速的WEB~冲服务器(卻IWEB反向代理服务器)来降低实际的WEB服务器的负蝲。典型的l构如下图所C:
Web服务器加速(反向代理Q是针对Web服务器提供加速功能的。它作ؓ代理CacheQ但q不针对?览器用户Q而针对一台或多台特定Web服务器(q也是反向代理名U的由来Q。实施反向代理(如上图所C)Q只要将Reverse Proxy Cache讑֤攄在一台或多台Web服务器前端即可。当互联|用戯问某?span lang=EN-US>WEB服务器时Q通过DNS服务器解析后?span lang=EN-US>IP地址?span lang=EN-US>Reverse Proxy Server?span lang=EN-US>IP地址,而非原始Web服务器的IP地址,q时Reverse Proxy Server讑֤充当Web服务器,览器可以与它连接,无需再直接与Web服务器相q。因此,大量Web服务工作量被卸蝲到反向代理服务上。不但能够防 止外部网L直接?span lang=EN-US>web服务器直接通信带来的安全隐患,而且能够很大E度上减?span lang=EN-US>web服务器的负担Q提高访问速度?span lang=EN-US>
二. 反向代理和其它代理的比较
下面对几种典型的代理服务作一个简单的比较。在|络上常见的代理服务器有三种Q?span lang=EN-US>
1Q?标准的代理缓冲服务器
一个标准的代理~冲服务被用于缓存静态的|页Q例如:html文g和图片文件等Q到本地|络上的一CZQ即代理服务器)。当被缓存的面被第二次讉K的时候,览器将直接从本C理服务器那里获取h数据而不再向?span lang=EN-US>web站点h数据。这样就节省了宝늚|络带宽Q而且提高了访问速度。但是,要想实现q种方式Q必d每一个内部主机的览器上明确指明代理服务器的IP地址和端口号。客L上网Ӟ每次都把h送给代理服务器处理,代理服务器根据请求确定是否连接到q程web服务器获取数据。如果在本地~冲区有目标文gQ则直接文件传l用户即可。如果没有的话则先取回文Ӟ先在本地保存一份缓Ԍ然后文件发l客L览器?span lang=EN-US>
2Q?透明代理~冲服务?span lang=EN-US>
透明代理~冲服务和标准代理服务器的功能完全相同。但是,代理操作对客L的浏览器是透明的(即不需?明代理服务器?span lang=EN-US>IP和端口)。透明代理服务器阻断网l通信Qƈ且过滤出讉K外部?span lang=EN-US>HTTPQ?span lang=EN-US>80端口Q流量。如果客L的请求在本地有缓冲则缓冲的数据 直接发给用户Q如果在本地没有~冲则向q程web服务器发求,其余操作和标准的代理服务器完全相同。对?span lang=EN-US>Linux操作pȝ来说Q透明代理使用 Iptables或?span lang=EN-US>Ipchains实现。因Z需要对览器作M讄Q所以,透明代理对于ISPQ?span lang=EN-US>Internet服务器提供商Q特别有用?span lang=EN-US>
3Q?反向代理~冲服务?span lang=EN-US>
反向代理是和前两U代理完全不同的一U代理服务。用它可以降低原始WEB服务器的负蝲。反向代理服务器承担了对原始WEB服务器的静态页面的hQ防止原始服务器q蝲。它位于本地WEB服务器和Internet之间Q处理所有对WEB服务器的hQ阻??span lang=EN-US>WEB服务器和Internet的直接通信。如果互联网用户h的页面在代理服务器上有缓冲的话,代理服务器直接将~冲内容发送给用户。如果没有缓冲则先向WEB服务器发求,取回数据Q本地缓存后再发送给用户。这U方式通过降低了向WEB服务器的hC而降低了WEB服务器的负蝲?span lang=EN-US>
三.反向代理工作原理
反向代理服务器位于本?span lang=EN-US>WEB服务器和Internet之间,如下图所C:
当用h览器发出一?span lang=EN-US>HTTPhӞ通过域名解析请求定向到反向代理服务器(如果要实现多?span lang=EN-US>WEB 服务器的反向代理Q需要将多个WEB服务器的域名都指向反向代理服务器Q。由反向代理服务器处理器h。反向代理一般只~存可缓冲的数据Q比?span lang=EN-US>html|?和囄{)Q而一?span lang=EN-US>CGI脚本E序或?span lang=EN-US>ASP之类的程序不~存。它Ҏ?span lang=EN-US>WEB服务器返回的HTTP头标记来~冲静态页面。有四个最重要HTTP头标 讎ͼ
- Last-Modified: 告诉反向代理面什么时间被修改
- Expires: 告诉反向代理面什么时间应该从~冲Z删除
- Cache-Control: 告诉反向代理面是否应该被缓?
- Pragma: 告诉反向代理面是否应该被缓?span lang=EN-US>.
例如Q在默认情况下,ASP面q回” Cache-control: private.” Q所?span lang=EN-US>ASP面时不会在反向代理服务器缓存的
反向代理服务器(Reverse Proxy ServerQ一般被|于源服务器的前端,如图中所C。它配备有大定w的内存和高速磁盘,用于~存客户的请求,所以反向代理服务器又称为加速服务器?
?span lang=EN-US>:反向代理服务?span lang=EN-US>
对于客户送过来的hQ反向代理服务器的工作方式如下:
· 使用反向代理服务器后Q客L送过来的h会首先送到反向代理服务器?
· 反向代理服务器先查自q存的内容Q动态内Ҏ静态内容)?
· 如果客户h内容在缓存中Q则直接结果反馈给客户Q此ơ请求完成?
· 如果客户h内容不在~存中,它会Ҏ后面的各?span lang=EN-US>HTTP服务器(或内Ҏ务器Q的q行情况Q做负蝲均衡处理Q将hq一步送到某个http 服务器(或内Ҏ务器Q?
· 后端服务器作处理后,反馈l果l反向代理服务器?
· 对于后端服务器反馈过来的l果Q它会将l果~存Q动态内Ҏ静态内容)hQƈq一步送给客户端,此次h完成?
反向代理服务器通常要ؓ一个请求同时维护两个会话:与客L的会话和与后端服务器的对话。和普通的代理不同Q反向代理服务器一般只代理一台或者有限的几台服务器,对于客户而言Q反向代理服务器对于他们q当于源服务器Q对于源服务器而言Q反向代理服务器通常是唯一的客P因ؓ一般客户不和源服务器直接通信。典型情况下Q源服务器对于客h者客户对于源服务器,都是不可见的?span lang=EN-US>
反向代理服务器的作用
代理服务器v着客户Zl站的作用。它转发hq接收响应,q它成为高速缓存结果以侉K用的理想场所。这cM理服务器UCؓ高速缓存代理,它具有以下作用:
· 加快对客L响应旉Q减d端源服务器(卛_Ҏ务器Q负?
使用反向代理服务器后Q由于它h大容量缓存,可以~存多个静?span lang=EN-US>/动态页面,当有客户h送过来时Q如能够直接在缓存中扑ֈhl果Q就可以直接反馈l客P而不用再请求送给后端服务器。这样就加快了对客户的响应时_同时也减M后端源服务器的负载?span lang=EN-US>
· 保障后端源服务器Q即内容服务器)的安?
?span lang=EN-US>Internet上的客户端而言Q它只能接触到反向代理服务器Q因此反向代理服务器成为后端服务器的屏障,保障了后端服务器的安全?span lang=EN-US>
· 减少源服务器Q即内容服务器)节点之间占用的网l带?
使用反向代理服务器后Q它h的大定w~存可以减少源服务器的网l通讯量。这样就减少源服务器Q即内容服务器)节点之间占用的网l带宽?span lang=EN-US>
· Ҏ服务器进行负载均?span lang=EN-US>(Load Balance)?
当后端源服务器有多个Ӟ反向代理服务器可以根据后端各个服务器当前负蝲情况Q做负蝲均衡处理Q有选择的将当前h送给最I闲的后端服务器?/span>
]]>
]]>
timeoutQ过期时?span lang=EN-US>5U(对应httpd.conf里的参数是:KeepAliveTimeoutQ,maxq了100U,强制断掉q接
是?span lang=EN-US>timeout旉内又有新的连接过来,同时max会自动减1Q直Cؓ0Q强制断?/span>。见下面的四个图Q注意看Date的|前后旉差都是在5U之内)Q?span lang=EN-US>
]]>
?/span>HTTP的角?/span>
1 客户?/span> ?/span>http Request Header上带?/span> Accept-Encoding:gzip,deflate
2服务器若是支?/span>gzip压羃则在http reponse eader
部分q回Content-Encoding: gzip 或?/span>Content-Type: application/x-gzip
3?/span>body部分?/span>gzip解压~?/span> 则得到网内?/span>.
传说?/span>ie?/span>bug 在处?/span>js css压羃的时候有bug,我不理解 挺简单的怎么会有bug?/span>.
?/span>gzip的角?/span>
gzip是一U数据格?/span> 默认且目前仅使用deflate法压羃data部分
zlib也是一U数据格?/span>,使用defalte法压羃数据部分.
deflate是一U压~算?/span>,?/span>huffman~码的一U加?/span>
zlib是一个开源库, 提供deflate压羃和对应的infalte解压~?/span>.
不过zlib默认?/span>deflate infalte默认是处?/span>zlib格式数据.必须使用
deflateInit2(&strm, DEFAULT_COMPRESSION,Z_DEFLATED, DEFAULT_WINDOWSIZE,DEFAULT_MEMLEVEL, Z_DEFAULT_STRATEGY);
初始化才是处?/span>raw deflate data.(q一点在zlib manul没有?/span>,?/span>faq中提?/span>,困扰了我好久,q是同事L帮我调试发现)
至于gzip格式解析 对着RFC写就可以?/span>.
参见RFC 1950 关于zlib http://www.faqs.org/rfcs/rfc1950.html
RFC 1951 关于deflate http://www.faqs.org/rfcs/rfc1951.html
RFC 1952 关于gzip http://www.faqs.org/rfcs/rfc1952.html
nt CGzip::Ungzip(const std::string & inStr , std::string &outStr){
static int nFileCount=0;
nFileCount++;
string strZipFileName="test";
// CConvert::StrToFile(inStr,strZipFileName+CConvert::toString<int>(nFileCount)+"H.gzip"
;
if(inStr.length()<11){
return -1;
}
//process gzip header
unsigned int skipCt = 10;
unsigned int skipZeroCt = 0;
unsigned char ID1 = inStr[0];
unsigned char ID2 = inStr[1];
unsigned char XFL=inStr[8];
bool bFEXTRA = false ;
bool bFNAME = false ;
bool bFCOMMENT = false ;
bool bFHCRC = false ;
unsigned int XLEN = 0;
if( (ID1!=31) && (ID2!=139)){
return -1; //?/span>gzip头部
}
unsigned char CM = inStr[2];
if(CM!=
{
return -1; //现在都只处理 deflate压羃?/span>
}
unsigned char FLG = inStr[3];
if( (FLG & GZIP_HEAD_FEXTRA) != 0){
bFEXTRA = true ;
skipCt += 2;
XLEN = inStr[10]+ inStr[11]*256 ;//按照端字节序列处理
skipCt += XLEN;
}
if( (FLG & GZIP_HEAD_FNAME) != 0){
bFNAME = true;
skipZeroCt++;
}
if( (FLG & GZIP_HEAD_FCOMMENT) != 0){
bFCOMMENT = true;
skipZeroCt++;
}
size_t passedZeroCt = 0;
size_t iStep = skipCt ;
for( size_t iStep = skipCt ; iStep<inStr.length(); iStep++){
if(passedZeroCt>=skipZeroCt){
break;
}
if(inStr[iStep]==''
{
passedZeroCt++;
}
}
skipCt = iStep ;
if( (FLG & GZIP_HEAD_FHCRC) != 0){
bFHCRC = true;
skipCt+=2 ;
}
string coreStr = inStr.substr(skipCt,inStr.length()-8-skipCt);
return CGzip::Inflate(coreStr,outStr);
}
int CGzip:
ogzip(const std::string & inStr , std::string &outStr){
char pAddHead[10];
unsigned long crc = 0;
// gzip header
static const char deflate_magic[2] = {'37', '\213'};
snprintf(pAddHead, 10,
"%c%c%c%c%c%c%c%c%c%c", deflate_magic[0],
deflate_magic[1], Z_DEFLATED, 0 /* flags */,
0, 0, 0, 0 /* 4 chars for mtime */,
0 /* xflags */, 0xff);
string addHead(pAddHead,10);
//gzip's raw deflate body
if(CGzip:
eflate(inStr,outStr)<0){
return - 1;
}
//gzip trailer
crc = crc32(crc, (const Bytef*)inStr.data(), inStr.length());
char tailBuf[8];
memcpy(tailBuf, &crc, 4);
int isize=inStr.size();
memcpy(tailBuf,&isize,4);
string tailStr(tailBuf , 8 );
outStr = addHead + outStr+tailStr; //
return outStr.length(); //
]]>
消息Q?span lang=EN-US>HTTP协议中顶U数据单位,使用HTTP协议通信的机器之间来回发送的数据?span lang=EN-US>
实体Q只出现在有消息体的消息中。它按照实体header定义的格式和~码q行传输?span lang=EN-US>
ҎQ?span lang=EN-US>
OPTIONS Q客L查询服务器对与某URL允许的通信选项
GET Q从服务器获?span lang=EN-US>URL对应的资?span lang=EN-US>
HEAD Q除了服务器响应中不能包含消息体Q该Ҏ?span lang=EN-US>GET一栗用于只需数元信息的情况
POST Q被设计用来注解、修?span lang=EN-US>URL所对应的资?span lang=EN-US>
PUT Q被设计用来修改或创源。当URL对应的资源存在时Q则提交的作为新版本Q否则新?span lang=EN-US>
DELETE Q被设计用来删除URL对应的资?span lang=EN-US>
TRACE Q主要用来测试。服务器最l接收到的请求本w发送回来,作ؓ客户端诊断依?span lang=EN-US>
CONNECT Q保留的Ҏ名,用于代理切换隧道
headerҎ参数Q?span lang=EN-US>
q Q在大多的各U?span lang=EN-US>headergQ都可以看到一个名?span lang=EN-US>q=0.2?span lang=EN-US>q=0.7之类的参数。因为发?span lang=EN-US>header主要是一个和服务器的协商q程Q所以能允许的选项一般不只一个,但具体哪个优先呢Q这需要ؓ一些选项制定权重倹{?span lang=EN-US>q参数的值是一个从0?span lang=EN-US>1的QҎQ默认是1Qؓ0表示客户端无法接Ӟ数点后 不能过3位。另外,header的多个g间用逗号分隔而不是分受比如这?span lang=EN-US>headerQ?span lang=EN-US>Accept:audio/*;q=0.2,audio /basicQ这表示客户端告诉服务器“我最喜欢的是一?span lang=EN-US>audio/basiccd的音?span lang=EN-US>(因ؓ它没有设|?span lang=EN-US>q参数Q默认是1Q,但如果没有,l我一个Q 意类?span lang=EN-US>(audio/*)的音频也?#8221;。当Ӟq只?span lang=EN-US>q参数一个比较简单的应用?span lang=EN-US>
常规header Q?span lang=EN-US>
Cache-Control Q用于指?span lang=EN-US>/响应链上所有缓存必L从的指oQ它必须hIK各代理和网关的能力?span lang=EN-US>HTTP1.0可能不支持该header?span lang=EN-US>PragmaQ?span lang=EN-US>no-cache?span lang=EN-US>
Connection Q允许客L指出希望特定q接的选项Q且止׃理在来的连接中通讯
Date Q表C消息发生的日期和时_?span lang=EN-US>RFC 822中的orig-date语义一?
Pragma Q用来包括实现特定的指oQ可能应用到h/响应链上所有接收方
Trailer Q指出给出的头部域集合在?span lang=EN-US>chunked transfer-coding~码的消息的N中存?span lang=EN-US>
Transfer-Encoding Q指出应用什么类型的转换到消息主体上Q与content-coding不同Q这不是指定实体的属性而是消息?span lang=EN-US>
Upgrade Q允许客L指出其支持的其他通讯协议Q切愿意使用之,若服务器发现切换是可行的Q必d响应中回101
Via Q必ȝ|关或代理来指出h中的UA和服务器、以及在响应中的原始服务器和客户端的中间协议和接收方。用于跟t消息{发,避免h循环
Warning Q用h带关于消息的状态和转换的额外信息,可能不在消息中反映。一般用于警告应用到消息实体上的~存操作或{换缺语义透明?span lang=EN-US>
hheaderQ?span lang=EN-US>
Accept Q客L指出响应可以接受的媒体类?span lang=EN-US>
Accept-Charset Q客L指出响应可以接受的字W集
Accept-Encoding Q客L指出响应可以接受的字W编?span lang=EN-US>
Accept-Language Q客L指出允许的语a
Authorization Q客L在受?span lang=EN-US>401后,需要向服务器标明n份,包括?span lang=EN-US>header卛_
Expect : 客户端指求的Ҏ服务器行为。若服务器无法满I可以q回417
From :
Host : 客户端指h的资源的因特|主机和端口?span lang=EN-US>
If-Match : 用于与方法一起其条件化
If-Modified-Since : 用于Ҏ使其条g化,如果h的变量在本域指定的时间从来不曾修改过Q则实体不会从服务器返回,改ؓ304
If-None-Match : 用于与方法一起其条件化
If-Range : 用于与方法一起其条件化
If-Unmodified-Since : 用于与方法一起其条件化Q如果请求的资源?span lang=EN-US>header值时间以来未改变Q则服务器执行该h
Max-Forwards : 提供某种机制Q?span lang=EN-US>TRACE?span lang=EN-US>OPTIONSҎ用来限制可以转发l下个入界服务器代理或网关的数量Q相当于客户端跟t请求链
Proxy-Authorization : 允许客户端向代理标识自己Q该代理需要认?span lang=EN-US>
Range : 字节范围Q可以指定单个实体中单个字节范围或范围集
Referer : 允许服务器ؓ感兴的资源、日志、优化缓存等生成向后链接清单
TE : 指出愿意在响应中接受M扩展?span lang=EN-US>transfer-coding
User-Agent : 包含发vh的用户代理(览器和OSQ的信息
响应headerQ?span lang=EN-US>
Accept-Ranges Q服务器指出对请求的资源可接受的范围Q可以是字节数或none
Age Q?span lang=EN-US>HTTP使用?span lang=EN-US>header来传输从~存服务器获取时的响应消息的估计q龄Q是~存服务器估计从响应产生或被原始服务器重新证实以来的L?span lang=EN-US>
ETag Q提供所h的实体标{当前?span lang=EN-US>
Location Q用来重定向接收
方到?span lang=EN-US>URI的位|来完成h。对?span lang=EN-US>201Q?span lang=EN-US>Location是由h创徏的新资源的标?span lang=EN-US>
Proxy-Authenticate Q该header必须作ؓ407响应的一部分Q指证方案和可应用到代理?span lang=EN-US>URI上的参数
Retry-After Q能?span lang=EN-US>503响应一L于指出希望该服务对客L可以l持多久Q?span lang=EN-US>
Server Q指出服务器使用的Y件信?span lang=EN-US>
Vary Q?span lang=EN-US>
WWW-Authenticate Q必d括在401中,D有challengel成Q它指出认证Ҏ和可应用?span lang=EN-US>URI的参?span lang=EN-US>
实体headerQ?span lang=EN-US>
Allow Q客L指出?span lang=EN-US>URI的资源允许的Ҏ
Content-Encoding : 用作?span lang=EN-US>media-type的修饰符Q其值将必须应用到实?span lang=EN-US>body上的额外内容~码。主要用来允许压~而不丢失下层媒体cd标识
Content-Language : 客户端指己所选的语言Q指出目标观众对所装实体的自然语a。这可能与实?span lang=EN-US>body内所有语a相同
Content-Length Q指出实?span lang=EN-US>body按十q制数的字节的寸
Content-Location Q如果实体能从独立于hURI的位|访问,则服务器可以提供该实体自q位置
Content-MD5 Q是实体body?span lang=EN-US>MD5摘要Q以便提供端到端的完整性检?span lang=EN-US>
Content-Range Q与实体body的一部分一起发送,用来指定该部?span lang=EN-US>body应用到全?span lang=EN-US>body的哪个地?span lang=EN-US>
Content-Type Q指出发送给接收方的实体body的媒体类型,媒体cd参见IANA
Expires Q指出响应被认ؓq期的日?span lang=EN-US>/旉
Last-Modified Q指出原始服务器认ؓ该变量最后修改的日期和时_实意思取决于原是服务器的实现和资源的属性。对文gQ可能只是文件系l内最后修Ҏ?
extension-header Q?span lang=EN-US>
状态码Q?span lang=EN-US>
100 : Continue
101 : Switching Protocols
200 : OK
201 : Created
202 : Accepted
203 : Non-Authoritative Information
204 : No Content
205 : Reset Content
206 : Partial Content
300 : Multiple Choices
301 : Moved Permanently
302 : Found
303 : See Other
304 : Not Modified
305 : Use Proxy
307 : Temporary Redirect
400 : Bad Request
401 : Unauthorized
402 : Payment Required
403 : Forbidden
404 : Not Found
405 : Method Not Allowed
406 : Not Acceptable
407 : Proxy Authentication Required
408 : Request Time-out
409 : Conflict
410 : Gone
411 : Length Required
412 : Precondition Failed
413 : Request Entity Too Large
414 : Request-URI Too Large
415 : Unsupported Media Type
416 : Requested range not satisfiable
417 : Expectation Failed
500 : Internal Server Error
501 : Not Implemented
502 : Bad Gateway
503 : Service Unavailable
504 : Gateway Time-out
505 : HTTP Version not supported
extension-code
关键字:HTTP
]]>
在浏览器W一ơ请求某一?span lang=EN-US>URLӞ服务器端的返回状态会?span lang=EN-US>200Q内Ҏ你请求的资源Q同时有一?span lang=EN-US>Last-Modified的属性标记此文g在服务期端最后被修改的时_格式cMq样Q?span lang=EN-US>
Last-Modified: Fri, 12 May 2006 18:53:33 GMT
客户端第二次h?span lang=EN-US>URLӞҎ HTTP 协议的规定,览器会向服务器传?span lang=EN-US> If-Modified-Since 报头Q询问该旉之后文g是否有被修改q:
If-Modified-Since: Fri, 12 May 2006 18:53:33 GMT
如果服务器端的资源没有变化,则自动返?span lang=EN-US> HTTP 304 Q?span lang=EN-US>Not Changed.Q状态码Q内容ؓI,q样p省了传输数据量?/font>当服务器端代码发生改变或者重启服务器Ӟ则重新发源,q回和第一ơ请求时cM。从而保证不向客L重复发出资源Q也保证当服务器有变化时Q客L能够得到最新的资源?span lang=EN-US>
2) 什么是”Etag”?
HTTP 协议规格说明定义ETag?span lang=EN-US>“被请求变量的实体?span lang=EN-US>” Q参?span lang=EN-US> —?章节 14.19Q?span lang=EN-US> 另一U说法是Q?span lang=EN-US>ETag是一个可以与Web资源兌的记PtokenQ?/font>典型?span lang=EN-US>Web资源可以一?span lang=EN-US>Web,但也可能?span lang=EN-US>JSON?span lang=EN-US>XML文档。服务器单独负责判断记号是什么及其含义,q在HTTP响应头中其传送到客户端,以下是服务器端返回的格式Q?span lang=EN-US>
ETag: "50b
客户端的查询更新格式是这LQ?/font>
If-None-Match: W/"50b
如果ETag没改变,则返回状?span lang=EN-US>304然后不返回,q也?span lang=EN-US>Last-Modified一栗本人测?span lang=EN-US>Etag主要在断点下载时比较有用?span lang=EN-US>
Last-Modified?span lang=EN-US>Etags如何帮助提高性能?
聪明的开发者会?span lang=EN-US>Last-Modified ?span lang=EN-US>ETagsh?span lang=EN-US>http报头一起用,q样可利用客LQ例如浏览器Q的~存。因为服务器首先产生 Last-Modified/Etag标记Q服务器可在E后使用它来判断面是否已经被修攏V本质上Q客L通过该记号传回服务器要求服务器验证Ӟ客户端)~存?span lang=EN-US>
q程如下:
1. 客户端请求一个页面(AQ?span lang=EN-US>
2. 服务器返回页?span lang=EN-US>AQƈ在给A加上一?span lang=EN-US>Last-Modified/ETag?span lang=EN-US>
3. 客户端展现该面Qƈ页面连?span lang=EN-US>Last-Modified/ETag一L存?span lang=EN-US>
4. 客户再次h面AQƈ上ơ请求时服务器返回的Last-Modified/ETag一起传递给服务器?span lang=EN-US>
5. 服务器检查该Last-Modified?span lang=EN-US>ETagQƈ判断面自上ơ客Lh之后q未被修改,直接q回响应304和一个空的响应体
]]>
]]>
]]>
]]>
]]>
1. 目的——HTTP/0.9-〉HTTP/1.0-〉HTTP/1.1
2. 要求——MUST、REQUIRED、SHOULD
3. 术语——连?Connection)、消?Message)、请?Request)、应{?Response)、资?Resource)、实?Entity)、表C方?Representation)、内容协?Content Negotiation)、变量(Variant)、客hQClientQ、用户代?User agent)、服务器(Server)、原服务器(Origin server)、代理服务器Q?ProxyQ、网养IgatewayQ、高速缓存(CacheQ、可~存QCacheableQ、直接(first-handQ、明终止时_explicit expiration timeQ、探索终止时_heuristic expiration timeQ、年龄(AgeQ、保鲜寿命(Freshness lifetimeQ、保鲜(FreshQ、陈旧(StaleQ、语义透明Qsemantically transparentQ、有效性判别器QValidatorQ、实体标讎ͼentity tagQ或最l更Ҏ_Last-Modified time))、上?下游Qupstream/downstreamQ、向?向外Qinbound/outboundQ?
4. M操作——请?应答、中?
二、符h例与一般语法(notational conversions and generic grammarQ?
1. 扩充BNF——name = definition,"literal",rule1 | rule2,(rule1 rule2),*rule,[rule],N rule, #rule,; comment, implied *LWS
2. 基本规则——OCTET,CHAR,UPALPHA,LOALPHA,ALPHA,DIGIT,CTL,CR,LF,SP,HT,<">
三、协议参敎ͼprotocol parametersQ?
1. HTTP版本——HTTP-Version = "HTTP" "/" 1*DIGIT "." 1*DIGIT
2. l一资源标示W(URIQ——统一资源定位?URL)和统一资源名称(URN)的结合,http_URL = "http:" "http://" host [ ":" port ] [ abs_path [ "?" query ]]
3. 日期/旉格式——Sun, 06 Nov 1994 08:49:37 GMT ; RFC 822, updated by RFC 1123Q?br>Sunday, 06-Nov-94 08:49:37 GMT ; RFC 850, obsoleted by RFC 1036Q?br>Sun Nov 6 08:49:37 1994 ; ANSI C's asctime() format
4. 字符集——本文档中的术语"字符?指一U用一个或更多表格一个八字节序列转换成一个字W序列的ҎQ?br>charset=token
p字符?
5. 内容~码——内容编码主要用来允许文档压~(信源~码Q?br>content-coding= token
注册表包含下列标讎ͼgzipQcompressQdeflateQidentity
6. 传输~码——目的是能够保通过|络安全传输Q信道编码)
transfer-coding = "chunked" | transfer-extension
transfer-extension = token *( ";" parameter )Q?br>成块传输代码
7. 媒体cd——media-type = type "/" subtype *( ";" parameter )
type = token
subtype = token
规范化和原文~省
多部分类?
8. 产品标记——product = token ["/" product-version]
product-version = token
9. 质量值——qvalue = ( "0" [ "." 0*3DIGIT ] )| ( "1" [ "." 0*3("0") ] )
10. 语言标记——language-tag = primary-tag *( "-" subtag )
primary-tag = 1*8ALPHA
subtag = 1*8ALPHA
11. 实体标记——entity-tag = [ weak ] opaque-tag
weak = "W/"
opaque-tag = quoted-string
12. 范围单位——range-unit = bytes-unit | other-range-unit
bytes-unit = "bytes"
other-range-unit = token
四?HTTP消息QHTTP messageQ?
1. 消息cd——HTTP-message = Request | Response ; HTTP/1.1 messages
generic-message = start-line *(message-header CRLF) CRLF [ message-body ]
start-line = Request-Line | Status-Line
2. 消息头——HTTP头域包括常规?h?应答头和实体头域
message-header = field-name ":" [ field-value ]
field-name = token
field-value = *( field-content | LWS )
field-content = <the OCTETs making up the field-value and consisting of either *TEXT or combinations of token, separators, and quoted-string>
3. 消息体——message-body = entity-body| <entity-body encoded as per Transfer-Encoding>
4. 消息的长度——决定因?
5. 常规头域——general-header = Cache-Control| Connection| Date| Pragma| Transfer-Encoding
五?hQrequestQ?
首行包括利用资源的方?区分资源的标?以及协议的版本号
Request = Request-Line * (( general-header| request-header| entity-header ) CRLF) CRLF [ message-body ]
1. h行——Request-Line = Method SP Request-URI SP HTTP-Version CRLF
Ҏ——方法标记指的是在请求URI所指定的资源上所实现的方?br>Method = "OPTIONS"| "GET"| "POST"| "PUT"| "DELETE"| "TRACE"| "CONNECT"| extension-method
extension-method = token
hURL——请求URL是一U全球统一的应用于资源h的资源标识符
Request-URI = "*" | absoluteURI | abs_path | authority
h行D例:GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1
GET /pub/WWW/TheProject.html HTTP/1.1
Host: www.w3.org
2. h定义的资源——一个INTERNETh所定义的精资源由hURL和主机报头域所军_
3. h报头域——request-header = Accept| Accept-Charset| Accept-Encoding| Accept-Language| Authorization| Expect| From| Host| If-Match| If-Modified-Since| If-None-Match| If-Range| If-Unmodified-Since| Max-Forwards| Proxy-Authorization| Range| Referer| TE| User-Agent
六?应答QresponseQ?
接收和翻译一个请求信息后Q服务器发出一个HTTP应答信息
Response = Status-Line*(( general-header| response-header| entity-header ) CRLF) CRLF [ message-body ]
1. 状态行——Status-Line = HTTP-Version SP Status-Code SP Reason-Phrase CRLF
状态码——状态码是试囄解和满h的三位数字的整数码,1xx,2xx,3xx,4xx,5xxQ?00-?05-〉扩展码
2. 应答报头域——response-header = Accept-Ranges| Age| Location| Proxy-Authenticate| Retry-After| Server| Vary| WWW-Authenticate
七?实体QentityQ?
在未l特别规定的情况下,h与应{的消息也可以传送实体?实体包括实体报头域与实体正文Q而有些应{只包括实体报头?
1. 实体报头域——entity-header = Allow | Content-Encoding| Content-Language| Content-Length | Content-Location| Content-MD5| Content-Range| Content-Type| Expires| Last-Modified| extension-header
extension-header = message-header
2. 实体正文——entity-body = *OCTET
entity-body := Content-Encoding( Content-Type( data ) )
八?q接QconnectionQ?
1. 持箋q接——优?br>持箋q接是Q何HTTPq接的缺省方式,支持持箋q接的客h可以以流水线方式发送请?br>代理服务?
2. 消息传递要求——持l连接与量控制
监视q接中出错状态的消息
100L态的用?br>服务器过早关闭连接时客户机的动作
九?Ҏ定义Qmethod definitionsQ?
1. 安全和等q方?br>安全Ҏ——GET和HEADҎ除了补救外不应该有别的采取措施的含义
{幂Ҏ——没有副作用的序列是{幂?
2. OPTIONS——OPTIONSҎ代表在请求URI定的请?应答q程中通信条g是否可行的信?
3. GET——GETҎ说明了重Z息的内容p求URI来确?
4. HEAD——除了应{中止q回消息正文?HEADҎ与GETҎ一?
5. POST——POSTҎ实现的实际功能取决于服务?
6. PUT——PUTҎ要求所附实体存储在提供的请求URI?
7. DELETE——DELELEҎ要求原服务器释放hURI指向的资?
8. TRACE——TRACEҎ用于调用q程的应用层循环h消息
9. CONNECT——CONNECTҎ用于能动态徏立v隧道的代理服务器
十?状态码定义Qstatus code definitionsQ?
1. 信息1XX—?br>100l箋
101转换协议
2. 成功2XX—?br>200h成功
201创徏
202接受
203非权威信?br>204无内?br>205重置内容
206局部内?
3. 重新定向3XX—?br>300多样选择
301怹Ud
302创立
303观察别的部分
304只读
306(没有用的)
307临时重发
4. 客户错误4xx—?br>400坏请?br>401未授权的
402必需的支?br>403用
404没有扑ֈ
405不被允许的方?br>406不接?br>407代理服务器认证所必需
408h时
409冲突
410停止
411必需的长?br>412预处理失?br>413h实体太大
414h的URIq长
415不被支持的媒体类?br>416h范围不满?br>417期望p|
5. 服务器错?xx—?br>500服务器内部错?br>501不能实现
502坏网?br>503难以获得的服?br>504|关时
505 HTTP版本不支?
十一?讉K验证Qaccess authenticationQ——可选择
十二?内容谈判Qcontent negotiationQ?
HTTPZ"内容谈判"提供了一些机Ӟ卛_有很多种可能的表C时如何选择对于一个请求的最佳的表示?
1. 服务器驱动谈判——一个请求的最佌C的选择由服务器提供的运法则来完成
2. 代理驱动谈判——对于一个应{的最佌C法的选择是在代理从原服务器端收到最初的应答后实现的
3. 透明谈判——透明的判断是服务器驱动和代理驱动谈判的结合体
十三?HTTP中的~存Qcaching in HTTPQ?
HTTP典型应用于能通过采用~存技术而提高性能的分布式信息pȝ
1. ~存—?br>~存正确?br>警告信息
~存控制机制
直接的用户代理警?br>规则和警告的例外情况
由客h制的行ؓ
2. q期模型—?br>服务器指定模?br>启发式过?br>q龄计算
q期计算
澄清q期?br>澄清多重响应
3. 认模型——当~存器想要用一个失时效的条目来相应客户的请?他首先必d源服务器验这一~存条目是否仍然可用
最后修Ҏ?br>标签~存认?br>强弱控制?br>关于何时使用实体标签和最后修Ҏ间的规则
不确认条?
4. 响应的缓存能力——除非被明确限制,~存pȝ可以一成功的响应作为缓存实体一直存?
5. 从缓存构造响应—?br>端到端和Hop-by-hop报头
不可更改报头
联合报头
联合字节范围
6. ~存谈判响应
7. ׃n与非׃n~存
8. 错误和不完全响应~存行ؓ
9. GET?HEAD的副作用
10. h或删除后的无效?
11. 强制写通过
12. ~存替换
13. 历史U录
十四?报头域定义(header field definitionsQ?
1. Accept——Accept = "Accept" ":" #( media-range [ accept-params ] )
media-range = ( "*/*"| ( type "/" "*" )| ( type "/" subtype )) *( ";" parameter )
accept-params = ";" "q" "=" qvalue *( accept-extension )
accept-extension = ";" token [ "=" ( token | quoted-string ) ]
?QAccept: audio/*; q=0.2, audio/basic
?QAccept: text/plain; q=0.5, text/html, text/x-dvi; q=0.8, text/x-c
2. Accept-Charset——Accept-Charset = "Accept-Charset" ":" 1#( ( charset | "*" )[ ";" "q" "=" qvalue ] )
例:Accept-Charset: iso-8859-5, unicode-1-1;q=0.8
3. Accept-Encoding——Accept-Encoding = "Accept-Encoding" ":" 1#( codings [ ";" "q" "=" qvalue ] )
codings = ( content-coding | "*" )
例:Accept-Encoding: gzip;q=1.0, identity; q=0.5, *;q=0
4. Accept-Language——Accept-Language = "Accept-Language" ":" 1#( language-range [ ";" "q" "=" qvalue ] )
language-range = ( ( 1*8ALPHA *( "-" 1*8ALPHA ) ) | "*" )
例:Accept-Language: da, en-gb;q=0.8, en;q=0.7
5. Accept-Range——Accept-Ranges = "Accept-Ranges" ":" acceptable-ranges
acceptable-ranges = 1#range-unit | "none"
例:Accept-Ranges: bytes
6. Age——Age = "Age" ":" age-value
age-value = delta-seconds
7. Allow——Allow = "Allow" ":" #Method
例:Allow: GET, HEAD, PUT
8. Authorization——Authorization = "Authorization" ":" credentials
9. Cache-Control——Cache-Control = "Cache-Control" ":" 1#cache-directive
cache-directive = cache-request-directive| cache-response-directive
cache-request-directive ="no-cache"| "no-store"| "max-age" "=" delta-seconds| "max-stale" [ "=" delta-seconds ]| "min-fresh" "=" delta-seconds| "no-transform"| "only-if-cached"| cache-extension
cache-response-directive ="public"| "private" [ "=" <"> 1#field-name <"> ]| "no-cache" [ "=" <"> 1#field-name <"> ]| "no-store"| "no-transform"| "must-revalidate"| "proxy-revalidate"| "max-age" "=" delta-seconds| "s-maxage" "=" delta-seconds| cache-extension
cache-extension = token [ "=" ( token | quoted-string ) ]
什么是可缓存的
哪些可能被缓存保?br>对基本过期失效机制的改进
~存重新认有效和重载控?br>不得转换的指?br>~存控制扩展
10. Connection——Connection = "Connection" ":" 1#(connection-token)
connection-token = token
例:Connection: close
11. Content-Encoding——Content-Encoding = "Content-Encoding" ":" 1#content-coding
例:Content-Encoding: gzip
12. Content-Language——Content-Language = "Content-Language" ":" 1#language-tag
例:Content-Language: mi, en
13. Content-Length——Content-Length = "Content-Length" ":" 1*DIGIT
Content-Length: 3495
14. Content-Location——Content-Location = "Content-Location" ":"( absoluteURI | relativeURI )
15. Content-MD5——Content-MD5 = "Content-MD5" ":" md5-digest
md5-digest = <base64 of 128 bit MD5 digest as per RFC 1864>
16. Content-Range——Content-Range = "Content-Range" ":" content-range-spec
content-range-spec = byte-content-range-spec
byte-content-range-spec = bytes-unit SP byte-range-resp-spec "/"( instance-length | "*" )
byte-range-resp-spec = (first-byte-pos "-" last-byte-pos) | "*"
instance-length = 1*DIGIT
例:The first 500 bytes:bytes 0-499/1234
17. Content-Type——Content-Type = "Content-Type" ":" media-type
例:Content-Type: text/html; charset=ISO-8859-4
18. Date——Date = "Date" ":" HTTP-date
例:Date: Tue, 15 Nov 1994 08:12:31 GMT
没有旉的原服务器的q作
19. Etag——ETag = "ETag" ":" entity-tag
例:ETag: W/"xyzzy"
20. Expect——Expect = "Expect" ":" 1#expectation
expectation = "100-continue" | expectation-extension
expectation-extension = token [ "=" ( token | quoted-string )*expect-params ]
expect-params = ";" token [ "=" ( token | quoted-string ) ]
21. Expires——Expires = "Expires" ":" HTTP-date
例:Expires: Thu, 01 Dec 1994 16:00:00 GMT
22. From——From = "From" ":" mailbox
例:From: webmaster@w3.org
23. Host——Host = "Host" ":" host [ ":" port ] ; Section 3.2.2
24. If-Match——If-Match = "If-Match" ":" ( "*" | 1#entity-tag )
例:If-Match: "xyzzy", "r2d2xxxx", "c3piozzzz"
25. If-Modified-Since——If-Modified-Since = "If-Modified-Since" ":" HTTP-date
例:If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT
26. If-None-Match ——If-None-Match = "If-None-Match" ":" ( "*" | 1#entity-tag )
例:If-None-Match: W/"xyzzy", W/"r2d2xxxx", W/"c3piozzzz"
27. If-Range ——If-Range = "If-Range" ":" ( entity-tag | HTTP-date )
28. If-Unmodified-Since ——If-Unmodified-Since = "If-Unmodified-Since" ":" HTTP-date
例:If-Unmodified-Since: Sat, 29 Oct 1994 19:43:31 GMT
29. Last-Modified ——Last-Modified = "Last-Modified" ":" HTTP-date
例:Last-Modified: Tue, 15 Nov 1994 12:45:26 GMT
30. Location ——Location = "Location" ":" absoluteURI
Location: http://www.w3.org/pub/WWW/People.html
31. Max-Forwards ——Max-Forwards = "Max-Forwards" ":" 1*DIGIT
32. Pragma ——Pragma = "Pragma" ":" 1#pragma-directive
pragma-directive = "no-cache" | extension-pragma
extension-pragma = token [ "=" ( token | quoted-string ) ]
33. Proxy-Authenticate ——Proxy-Authenticate = "Proxy-Authenticate" ":" 1#challenge
34. Proxy-Authorization ——Proxy-Authorization = "Proxy-Authorization" ":" credentials
35. Range——字节范?br>范围索请?br>Range = "Range" ":" ranges-specifier
36. Referer——Referer = "Referer" ":" ( absoluteURI | relativeURI )
37. Retry-After ——Retry-After = "Retry-After" ":" ( HTTP-date | delta-seconds )
38. Server ——Server = "Server" ":" 1*( product | comment )
39. TE ——TE = "TE" ":" #( t-codings )
t-codings = "trailers" | ( transfer-extension [ accept-params ] )
例:TE: trailers, deflate;q=0.5
40. Trailer ——Trailer = "Trailer" ":" 1#field-name
41. Transfer-Encoding ——Transfer-Encoding = "Transfer-Encoding" ":" 1#transfer-coding
例:Transfer-Encoding: chunked
42. Upgrade——Upgrade = "Upgrade" ":" 1#product
例:Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
43. User-Agent ——User-Agent = "User-Agent" ":" 1*( product | comment )
例:User-Agent: CERN-LineMode/2.15 libwww/2.17b3
44. Vary ——Vary = "Vary" ":" ( "*" | 1#field-name )
45. Via ——Via = "Via" ":" 1#( received-protocol received-by [ comment ] )
received-protocol = [ protocol-name "/" ] protocol-version
protocol-name = token
protocol-version = token
received-by = ( host [ ":" port ] ) | pseudonym
pseudonym = token
例:Via: 1.0 ricky, 1.1 ethel, 1.1 fred, 1.0 lucy
46. Warning = "Warning" ":" 1#warning-value
warning-value = warn-code SP warn-agent SP warn-text [SP warn-date]
warn-code = 3DIGIT
warn-agent = ( host [ ":" port ] ) | pseudonym
warn-text = quoted-string
warn-date = <"> HTTP-date <">
47. WWW-Authenticate ——WWW-Authenticate = "WWW-Authenticate" ":" 1#challenge
十五?安全考虑Qsecurity considerationsQ?
一些徏议,但是q不包括最l解x?
1. 个h信息
服务器日志信息的滥用
敏感信息的传?br>URI中敏感信息的~码
q接到Accept报头的机要问?
2. Z文g和\径名U的d
3. DNSƺ骗
4. LocationQ位|)报头和欺?
5. 内容們问题
6. 鉴定证书和空闲的客户?
7. 代理服务器和高速缓?br>对代理服务器的拒l服务攻?
十六?感谢
十七?参考文?
十八?作者地址
十九?附录
]]>
HTTP使用内容cdQ是指Web服务器向Web览器返回的文g都有与之相关的类型。所有这些类型在MIME Internet邮g协议上模型化Q即Web服务器告诉Web览器该文g所h的种c,是HTML文档、GIF格式囑փ、声x件还是独立的应用E序。大多数Web览器都拥有一pd的可配置的辅助应用程序,它们告诉览器应该如何处理Web服务器发送过来的各种内容cd?
HTTP通信机制是在一ơ完整的HTTP通信q程中,Web览器与Web服务器之间将完成下列7个步骤:
Q?Q?nbsp; 建立TCPq接
在HTTP工作开始之前,Web览器首先要通过|络与Web服务器徏立连接,该连接是通过TCP来完成的Q该协议与IP协议共同构徏InternetQ即著名的TCP/IP协议族,因此Internet又被UC是TCP/IP|络。HTTP是比TCP更高层次的应用层协议Q根据规则,只有低层协议建立之后才能Q才能进行更层协议的q接Q因此,首先要徏立TCPq接Q一般TCPq接的端口号?0
Q?Q?nbsp; Web览器向Web服务器发送请求命?
一旦徏立了TCPq接QWeb览器就会向Web服务器发送请求命?
例如QGET/sample/hello.jsp HTTP/1.1
Q?Q?nbsp; Web览器发送请求头信息
览器发送其h命o之后Q还要以头信息的形式向Web服务器发送一些别的信息,之后览器发送了一I白行来通知服务器,它已l结束了该头信息的发送?
Q?Q?nbsp; Web服务器应{?
客户机向服务器发求后Q服务器会客h回送应{,
HTTP/1.1 200 OK
应答的第一部分是协议的版本号和应答状态码
Q?Q?nbsp; Web服务器发送应{头信息
正如客户端会随同h发送关于自w的信息一P服务器也会随同应{向用户发送关于它自己的数据及被请求的文档?
Q?Q?nbsp; Web服务器向览器发送数?
Web服务器向览器发送头信息后,它会发送一个空白行来表C头信息的发送到此ؓl束Q接着Q它׃Content-Type应答头信息所描述的格式发送用hh的实际数?
Q?Q?nbsp; Web服务器关闭TCPq接
一般情况下Q一旦Web服务器向览器发送了h数据Q它p关闭TCPq接Q然后如果浏览器或者服务器在其头信息加入了q行代码
Connection:keep-alive
TCPq接在发送后仍然保持打开状态,于是Q浏览器可以l箋通过相同的连接发送请求。保持连接节省了为每个请求徏立新q接所需的时_q节U了|络带宽?
HTTPh格式
当浏览器向Web服务器发求时Q它向服务器传递了一个数据块Q也是h信息QHTTPh信息?部分l成Q?
l hҎURI协议/版本
l h?Request Header)
l h正文
下面是一个HTTPh的例子:
GET/sample.jspHTTP/1.1
Accept:image/gif.image/jpeg,*/*
Accept-Language:zh-cn
Connection:Keep-Alive
Host:localhost
User-Agent:Mozila/4.0(compatible;MSIE5.01;Window NT5.0)
Accept-Encoding:gzip,deflate
username=jinqiao&password=1234
Q?Q?nbsp; hҎURI协议/版本
h的第一行是“ҎURL?版本”QGET/sample.jsp HTTP/1.1
以上代码?#8220;GET”代表hҎQ?#8220;/sample.jsp”表示URIQ?#8220;HTTP/1.1代表协议和协议的版本?
ҎHTTP标准QHTTPh可以使用多种hҎ。例如:HTTP1.1支持7U请求方法:GET、POST、HEAD、OPTIONS、PUT、DELETE和TARCE。在Internet应用中,最常用的方法是GET和POST?
URL完整地指定了要访问的|络资源Q通常只要l出相对于服务器的根目录的相对目录即可,因此L?#8220;/”开_最后,协议版本声明了通信q程中用HTTP的版本?
Q?Q h?Request Header)
h头包含许多有关的客户端环境和h正文的有用信息。例如,h头可以声明浏览器所用的语言Q请求正文的长度{?
Accept:image/gif.image/jpeg.*/*
Accept-Language:zh-cn
Connection:Keep-Alive
Host:localhost
User-Agent:Mozila/4.0(compatible:MSIE5.01:Windows NT5.0)
Accept-Encoding:gzip,deflate.
Q?Q h正文
h头和h正文之间是一个空行,q个行非帔R要,它表C求头已经l束Q接下来的是h正文。请求正文中可以包含客户提交的查询字W串信息Q?
username=jinqiao&password=1234
在以上的例子的HTTPh中,h的正文只有一行内宏V当Ӟ在实际应用中QHTTPh正文可以包含更多的内宏V?
HTTPhҎ我这里只讨论GETҎ与POSTҎ
GETҎ
GETҎ是默认的HTTPhҎQ我们日常用GETҎ来提交表单数据,然而用GETҎ提交的表单数据只l过了简单的~码Q同时它作为URL的一部分向Web服务器发送,因此Q如果用GETҎ来提交表单数据就存在着安全隐患上。例?
Http://127.0.0.1/login.jsp?Name=zhangshi&Age=30&Submit=%cc%E+%BD%BB
从上面的URLh中,很容易就可以辩认单提交的内容。(Q之后的内容Q另外由于GETҎ提交的数据是作ؓURLh的一部分所以提交的数据量不能太?
POSTҎ
POSTҎ是GETҎ的一个替代方法,它主要是向Web服务器提交表单数据,其是大扚w的数据。POSTҎ克服了GETҎ的一些缺炏V通过POSTҎ提交表单数据Ӟ数据不是作ؓURLh的一部分而是作ؓ标准数据传送给Web服务器,q就克服了GETҎ中的信息无法保密和数据量太小的缺炏V因此,Z安全的考虑以及对用户隐U的重Q通常表单提交旉用POSTҎ?
从编E的角度来讲Q如果用户通过GETҎ提交数据Q则数据存放在QUERYQSTRING环境变量中,而POSTҎ提交的数据则可以从标准输入流中获取?
HTTP应答与HTTPh怼QHTTP响应也由3个部分构成,分别是:
l 协议状态版本代码描q?
l 响应?Response Header)
l 响应正文
下面是一个HTTP响应的例子:
HTTP/1.1 200 OK
Server:Apache Tomcat/5.0.12
Date:Mon,6Oct2003 13:23:42 GMT
Content-Length:112
<html>
<head>
<title>HTTP响应CZ<title>
</head>
<body>
Hello HTTP!
</body>
</html>
协议状态代码描qHTTP响应的第一行类gHTTPh的第一行,它表C通信所用的协议是HTTP1.1服务器已l成功的处理了客L发出的请求(200表示成功Q?
HTTP/1.1 200 OK
响应?Response Header)响应头也和请求头一样包含许多有用的信息Q例如服务器cd、日期时间、内容类型和长度{:
Server:Apache Tomcat/5.0.12
Date:Mon,6Oct2003 13:13:33 GMT
Content-Type:text/html
Last-Moified:Mon,6 Oct 2003 13:23:42 GMT
Content-Length:112
响应正文响应正文是服务器返回的HTML面Q?
<html>
<head>
<title>HTTP响应CZ<title>
</head>
<body>
Hello HTTP!
</body>
</html>
响应头和正文之间也必ȝI分隔。
HTTP应答?
HTTP应答码也UCؓ状态码Q它反映了Web服务器处理HTTPh状态。HTTP应答码由3位数字构成,其中首位数字定义了应{码的类型:
1XXQ信息类(Information),表示收到Web览器请求,正在q一步的处理?
2XXQ成功类QSuccessfulQ?表示用户h被正接Ӟ理解和处理例如:200 OK
3XX-重定向类(Redirection),表示h没有成功Q客户必采取进一步的动作?
4XX-客户端错?Client Error)Q表C客L提交的请求有错误 例如Q?04 NOT FoundQ意味着h中所引用的文档不存在?
5XX-服务器错?Server Error)表示服务器不能完成对h的处理:?500
对于我们Web开发h员来说掌握HTTP应答码有助于提高Web应用E序调试的效率和准确性?
安全q接
Web应用最常见的用途之一是电子商务,可以利用Web服务器端E序使h们能够网l购物,需要指ZҎQ缺省情况下Q通过Internet发送信息是不安全的Q如果某人碰巧截获了你发l朋友的一则消息,他就能打开它,假想在里面有你的信用卡号码,q会有多么糟p,q运的是Q很多Web服务器以及Web览器都有创立安全连接的能力Q这样它们就可以安全的通信了?
通过Internet提供安全q接最常见的标准是安全套接?Secure Sockets layer,SSl)协议。SSL协议是一个应用层协议(和HTTP一?Q用于安全方式在Web上交换数据,SSL使用公开密钥~码pȝ。从本质Ԍq意味着业务中每一斚w拥有一个公开的和一个私有的密钥。当一方用另一方公开密钥q行~码Ӟ只有拥有匚w密钥的h才能对其解码。简单来Ԍ公开密钥~码提供了一U用于在两方之间交换数据的安全方法,SSLq接建立之后Q客户和服务器都交换公开密钥Qƈ在进行业务联pM前进行验证,一旦双方的密钥都通过验证Q就可以安全C换数据?
]]>
SOAP=RPC+HTTP+XML
SOAP单的理解Q就是这L一个开攑֍议SOAP=RPC+HTTP+XMLQ?font color=#800000>采用HTTP作ؓ底层通讯协议QRPC作ؓ一致性的调用途径QQL作ؓ数据传送的格式Q允许服务提供者和服务客户l过防火墙在INTERNETq行通讯交互?/font>RPC的描叙可能不大准,因ؓSOAP一开始构思就是要实现q_与环境的无关性和独立性,每一个通过|络的远E调用都可以通过SOAP装hQ包括DCEQDistributed Computing Environment Q RPC CALLSQCOM/DCOM CALLS, CORBA CALLS, JAVA CALLSQetc?
SOAP 使用 HTTP 传?XMLQ尽HTTP 不是有效率的通讯协议Q而且 XML q需要额外的文g解析QparseQ,两者得交易的速度大大低于其它Ҏ。但是XML 是一个开放、健全、有语义的讯息机Ӟ?HTTP 是一个广泛又能避免许多关于防火墙的问题,从而SOAP得到了广泛的应用。但是如果效率对你来说很重要Q那么你应该多考虑其它的方式,而不要用 SOAP?
]]>